[TOC] ## FOFA简介 FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。 **官网：**[https://www.fofa.so/](https://www.fofa.so/) ## 黑客语法 ``` server=Apache && header=thinkphp && host=.cn && country=CN && port=80 ``` ## 搜索title包含有”后台”的IP ~~~ title=”后台” ~~~ ## 搜索Apache服务 ~~~ server=”Apache” ~~~ ## 搜索端口号 ~~~ port="3306" ~~~ ## 搜索指定国家 ~~~ country="US" ~~~ ## 搜索指定城市 ~~~ city="Beijing“ ~~~ ## 从标题中搜索“北京” ~~~ title=”beijing” ~~~ ## 从http响应头中搜索“thinkphp” ~~~ header=”thinkphp” ~~~ ## 从html正文中搜索“管理后台” ~~~ body=”管理后台” ~~~ ## 从子域名中搜索带有“[163.com](http://163.com/)”的网站 ~~~ domain=”163.com” ~~~ ## 搜索使用此icon的资产 ~~~ icon_hash=”-247388890” ~~~ ## 从域名中搜索“.gov.cn” ~~~ host=”.gov.cn” ~~~ ## 查找对应“443”端口的资产 ~~~ port=”443” ~~~ ## 从ip中搜索包含“1.1.1.1”的网站 ~~~ ip=”1.1.1.1” ~~~ ## 搜索IP为“120.27.6.1”的C段资产 ~~~ ip=”120.27.6.1/24” ~~~ ## 查询服务器状态为“200”的资产 ~~~ Status_code=”200” ~~~ ## 查看https协议资产（必须在端口开启扫描才有效） ~~~ protocol=”https” ~~~ ## 搜索指定城市的资产 ~~~ city=”Shanghai” ~~~ ## 搜索指定省级的资产 ~~~ region=”Zhejiang” ~~~ ## 搜索指定国家的资产 ~~~ country=”CN" ~~~ ## 搜索证书（https或者imaps等）中带有google的资产 ~~~ cert=”google” ~~~ ## 搜索FTP协议中带有users文本的资产 ~~~ banner=users&&protocol=ftp ~~~ ## 搜索所有协议资产，支持subdomain和service两种 ~~~ type=service ~~~ ##搜索windows资产 ~~~ os=windows ~~~ ## 搜索IIS7.5服务器 ~~~ server==”Microsoft-IIS/7.5” ~~~ ## 搜索通达OA设备 ~~~ app=“TDXK-通达OA” ~~~ ## 时间范围段搜索（之后） ~~~ after=”2017” ~~~ ## 时间范围段搜索（之前） ~~~ before=”2019-07-01” ~~~ ## 搜索指定asn的资产 ~~~ asn=”19551” ~~~ ## 搜索指定org（组织）的资产 ~~~ org=”Amazon.com,Inc.” ~~~ ## 搜索udp协议的资产 ~~~ base_protocol=”udp” ~~~ ## 搜索ipv6的资产 ~~~ is_ipv6=true ~~~ ## 搜索域名的资产 ~~~ is_domain=true ~~~ ## 搜索同时开启3306，443,22端口的ip ~~~ ip_ports=”3306,443,22” ~~~ ## 搜索只开启3306，443,22端口的ip ~~~ ip_ports==”3306,443,22” ~~~ ## 查看开放端口数量等于“6”的资产 ~~~ port_size=”6” ~~~ ## 查看开放端口数量大于“3”的资产 ~~~ port_size_gt=”3” ~~~ ## 查询开放端口数量小于“12”的资产 ~~~ port_size_lt=”12” ~~~ **可以配合括号和&&，||，!=等符号进行查询** **Eg:** ~~~ app=”TDXK-通达OA”&&org=”China Education and Resaerch Network Center” ~~~