Fofa绕过查询限制分析

  • A+
所属分类:安全工具

今天在t00ls上看到有人公开了一个用go写的工具

下载地址:https://github.com/i11us0ry/tool-iFofa

https://www.t00ls.net/thread-61604-1-1.html
Fofa绕过查询限制分析

抓包查看

Fofa绕过查询限制分析

 

作者虽然没有开源,针对其中fofa查询我们分析看看。原理很简单,咱们直接使用proxifier全局抓包看看

 

Fofa绕过查询限制分析

1.设置代理

 

Fofa绕过查询限制分析

 

 

Fofa绕过查询限制分析

2.设置rule

 

Fofa绕过查询限制分析

 

 

Fofa绕过查询限制分析

3.执行抓包

 

./goon_amd64_mac -mode fofascan -key port="8081" -num=-1

Fofa绕过查询限制分析

 

 

Fofa绕过查询限制分析

4.查看结果

 

burp这里得到了每次的请求

GET /api/v1/search/[email protected]&key=a30c1dd7ef01722c05f5&qbase64=cG9ydD04MDgxICYmIGJlZm9yZT0yMDIxLTA2LTI5ICYmIGFmdGVyPTIwMjAtMDYtMzA=&size=10000&fields=ip,host,title HTTP/2Host: fofa.soAccept-Encoding: gzip, deflateUser-Agent: Go-http-client/2.0Connection: close

 

Fofa绕过查询限制分析

包文分析

Fofa绕过查询限制分析

 

我们把参数qbase64解码看看
Fofa绕过查询限制分析

port=8081 && before=2021-06-29 && after=2020-06-30

Fofa绕过查询限制分析

 

port=8081 && before=2021-06-29 && after=2021-06-28

通过设置不同的查询语句,来获取结果,结果中会存在重复的数据。

 

结果分析

我尝试使用高级会员账号进行查询

./goon_amd64_mac -mode fofascan -key port="7001" -num=-1

得到了123W条数据
Fofa绕过查询限制分析

在sublime中,使用正则截取每行出现的第一个ip

d*.d*.d*d.d*:d*

符合 ip:port格式的是 122W条数据
Fofa绕过查询限制分析

再通过去重得到result
在sublime中排序
edit - sort lines
Fofa绕过查询限制分析

查找目标为

^(.+)$[rn](^1$[rn]{0, 1})+

替换为

1n

Fofa绕过查询限制分析

 

最后得到了70W个结果
Fofa绕过查询限制分析

由于没有对结果进行处理,所以结果中存在大量重复ip,不过通过时间条件来扩大查询结果,这操作还是骚的。

 

 

Fofa绕过查询限制分析

修复方式:

Fofa绕过查询限制分析

 

  1. 限制每个账号每小时对fofa服务器请求次数。(多个账号进行绕过)
  2. 限制同一个IP对fofa服务器请求次数。(代理池绕过)
  3. 取消普通会员及高级会员账号的before、after的条件查询。

 

本文始发于微信公众号(白帽子飙车路):Fofa绕过查询限制分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:1   其中:访客  0   博主  0

    • bowman 3

      收藏了