点击上方蓝字“小谢取证”一起玩耍
今天是2024年9月10日教师节,祝天下所有的教师节日快乐。值此教师节来临之际,本期特邀一线实战技术专家及时雨,给大家分享一期“Fofa平台使用入门--利用网站小图标绕过CDN”主题内容。希望大家在遇到一个APP或者网址之后会有更进一步的分析思路。
在目前日益频发的新型网络犯罪案件中,大部分案件都会涉及到网站、APP分析。APP分析也关联到下载链接、内嵌网站分析。然而网站分析工作目前越来越难开展,大部分xyr选择购买境外的网络服务(域名、服务器、CDN等)搭建网站,这导致在对网络流分析时,无法解析出网站的真实服务器ip,也无法通过dz获取到xyr信息。此时使用FOFA平台,则有可能绕过CDN找到涉案网站的服务器,同时扩展犯罪团伙使用的网络资产,增加涉案线索。本次课程主要介绍使用fofa网络空间测绘的搜索引擎的基本使用方法,并详细讲述通过网站小图标绕过CDN的方法。
1.FOFA平台介绍
1.1 什么是FOFA?
FOFA是一款网络空间测绘的搜索引擎,可以查找公网上的互联网资产。简单来说,FOFA的使用方式类似于谷歌或百度,用户可以输入关键词来匹配包含该关键词的数据。不同的是,这些数据不仅包括像谷歌或百度一样的网页,还包括像摄像头、打印机、数据库、操作系统等资产。
1.2 FOFA的使用
当我们在办案过程中发现涉案服务器ip时,可以直接输入查询,就像我们使用百度搜索一样方便,以52.193.171.76为例,看看我们能得到什么结果:
可以看到系统直接帮我们转换成语法ip="52.193.xxx.76",搜索后就可以看到该服务器上被FOFA扫描的所有网站,左边竖栏则依次有:相关icon、网站指纹排名、国家/地区排名、端口排名、Server排名、协议排名、网站标题排名。
1.3 常用FOFA的语法介绍
• title="abc" 从标题中搜索abc。例:标题中有北京的⽹站
• header="abc" 从http头中搜索abc。例:jboss服务器
• body="abc" 从html正⽂中搜索abc。例:正⽂包含Hacked by
• domain="qq.com" 搜索根域名带有qq.com的⽹站。例:根域名是qq.com的⽹站
• host=".gov.cn" 从url中搜索.gov.cn,注意搜索要⽤host作为名称。例:政府⽹站, 教育⽹站
• port="443" 查找对应443端⼝的资产。例:查找对应443端⼝的资产
• ip="1.1.1.1" 从ip中搜索包含1.1.1.1的⽹站,注意搜索要⽤ip作为名称。例:查询IP为220.181.111.1的
⽹站; 如果想要查询⽹段,可以是:ip="220.181.111.1/24",例如查询IP为220.181.111.1的C⽹段资产
• cert="google" 搜索证书(https或者imaps等)中带有google的资产。例:搜索证书(https或者imaps等)中带有google的资产
• banner=users && protocol=ftp 搜索FTP协议中带有users⽂本的资产。例:搜索FTP协议中带有users⽂本的资产
• icon_hash="-247388890" 通过网站图标的hash值进行查询
高级搜索
逻辑连接符 具体含义
=,匹配,=""时,可查询不存在字段或者值为空的情况;
==,完全匹配,==""时,可查询存在且值为空的情况;
&&,与;
||,或;
!=,不匹配,!=""时,可查询值不为空的情况。
*=,模糊匹配,使用*或者?进行搜索,比如banner*="mys??";
(),确认查询优先级,括号内容优先级最高。
2.FOFA平台介绍
2.1 什么是favicon.ico?
favicon.ico是网站的小图标,当用户访问网站时,浏览器会显示指定的favicon.ico
作为网站的图标。这个图标会出现在浏览器的标签页上、用户的书签列表中、历史记录中,以及在用户将网站添加到桌面快捷方式时的图标。
fofa网站的小图标在网站标题左边
2.2 如何获取favicon.ico文件
2.2.1方法一:直接访问:
许多网站会在根目录下放置 favicon.ico
文件,你可以直接在浏览器地址栏输入 http://[网站域名]/favicon.ico
来尝试访问它。
2.2.2 方法二:使用开发者工具
·打 打开目标网站。
· 右键点击页面,选择“检查”或使用快捷键(通常是F12或Ctrl+Shift+I)打开开发者工具。
· 切换到“网络”(Network)标签页。
·刷新页面,观察加载的资源,找到 favicon.ico
。
· 点击 favicon.ico
,然后在右侧的“资源”(Resources)面板中右键点击链接,选择“在新标签页中打开”或“复制链接地址”,然后访问该链接以下载。
或者 进入“开发人员工具”,在“元素”标签中找到部分,展开后查找关于“icon”的值,一般为icon或shortcut icon,后面的href值即为网站ico的网址。
2.3 在fofa搜索小图标的方法
点击搜索栏右侧的三个点,点击进入icon搜索,上传已获取的网站小图标即可
3.使用网站小图标绕过cdn案例
3.1 涉案网站https://utxxx.syon33.xyz:2083截图:
3.2 涉案网站在ip138查询结果
均为泛播 Cloudflare IP,说明使用了cdn。
3.3获取涉案网站小图标
通过前面介绍的方法对该网站的小图标进行提取获取到网站小图标并搜索
在fofa中搜索该小图标,搜索出120个使用了该小图标的网站
3.4 结合端口号继续搜索
其中有26个网站标题是“周六福”,观察涉案网站,网站使用端口2083
在搜索栏输入icon_hash="-4083xxx45" && port="2083"
3.5 验证搜索结果
显然18.xxx.193.41:2083很有可能是本案涉案网站的真实服务器和端口点击进入,果然是周六福界面,使用之前在涉案网站注册的账号,也能顺利登录
3.6 在ip138查询18.xxx.193.41
我们还可以继续通过ip、网站指纹进行拓展,本期的文章分享就到此为止了,fofa、鹰图等资产搜索类网站还有很多值得我们研究的使用方法,需要我们不断学习。
敬请各位大佬关注:小谢取证
扫取二维码获取
更多精彩
小谢取证
原文始发于微信公众号(小谢取证):Fofa平台使用入门--利用网站小图标绕过CDN
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论