FOFA:你的网络空间“上帝视角”,一张图看懂全球资产
本文基于FOFA搜索结果,分析了Nginx、Apache Tomcat及3389端口的暴露风险。Nginx覆盖广,易受解析及代理配置漏洞影响;Tomcat承载核心业务,常面临弱口令与反序列化攻击;3389端口海量暴露,极易导致服务器被远程控制,揭示互联网基础设施的巨大安全隐患。
前言
在网络安全的世界里,信息就是力量。无论是企业安全团队梳理自身资产,还是安全研究员追踪威胁情报,第一步永远是“发现”。而 FOFA,正是这个领域中一把锋利无比的“开山刀”,它能让你在几分钟内,从海量数据中精准定位到目标,获得前所未有的“上帝视角”。
FOFA官网
https://fofa.info/fofa简单点说是用来干啥的
简单来说,FOFA 就是一个网络空间的“谷歌”或“百度”。
但它搜索的不是普通的网页新闻,而是互联网上所有联网的设备和资产。
为了让你更直观地理解,我们可以从以下几个维度来看:
1. 核心定义:网络空间的“地图”
如果把互联网比作现实世界,谷歌地图帮你找现实中的“建筑物”和“道路”,而 FOFA 则是帮你找网络世界里的“房子”(服务器)、“摄像头”、“大门”(端口)和“住户”(网站/系统)。
2. 它能搜到什么?
普通的搜索引擎搜的是“内容”(比如“怎么做红烧肉”),FOFA 搜的是“设施”。它可以帮你找到:
- 硬件设备: 摄像头、打印机、路由器、工业控制系统。
- 软件服务: 数据库(MySQL, Redis)、Web服务器(Nginx, Apache)、后台管理系统。
- 特定特征: 比如“所有使用 WordPress 搭建的网站”或者“所有开放了 3389 端口的 Windows 服务器”。
3. 谁在用?主要用来干嘛?
- 企业/管理员(自查): 用来盘点家底。比如公司想知道自己有多少资产暴露在公网上,有没有忘记关掉的测试服务器,或者有没有系统中了病毒。
- 安全研究员/白帽子(找漏洞): 当某个软件(如 Log4j)爆出漏洞时,他们会用 FOFA 快速搜索全网,看看哪些网站用了这个软件,从而评估漏洞的影响范围。
- 攻击者(找目标): (注意:这是非法用途) 黑客也会利用它寻找防护薄弱、有漏洞的“肉鸡”或目标系统进行攻击。
4. 举个栗子
- 普通搜索: 你在百度搜
摄像头,看到的是摄像头的商品介绍和评测文章。 - FOFA 搜索: 你在 FOFA 搜
摄像头(或者特定的摄像头品牌特征),看到的可能是全球各地暴露在互联网上、且没有设置密码的摄像头画面。
一句话总结:FOFA 是一个网络资产搜索引擎,专门用来帮人快速发现互联网上“裸露”在外的设备、系统和漏洞。
核心语法:从“大海捞针”到“精准狙击”
FOFA 的强大,源于其灵活且强大的查询语法。掌握它,你就能从漫无目的的浏览,转变为精准的“狙击手”。
基础字段:你的“搜索关键词”
FOFA 的查询基本格式是 字段="值"。这些字段就是你搜索的维度。
ip/cidr:直接搜索单个 IP 或一个网段。例如,ip="1.1.1.1"或cidr="192.168.1.0/24",后者可以一次性摸清整个 C 段的资产情况。
ip
ip="1.1.1.1" 
分析
搜索目标:1.1.1.1
- IP 身份:
1.1.1.1是全球知名的公共 DNS 服务 IP 地址,由 Cloudflare 公司运营。它通常用于加速域名解析和提供网络安全防护。- 搜索结果概况:系统显示共有 6,907 条匹配结果,但特别注明只有 1 条独立 IP,这说明所有的结果都指向这同一个 IP 地址,只是开放了不同的端口或协议。搜索耗时极快,仅 98ms。
关键结果分析
图片主要展示了两个具体的服务端口信息:
端口 2095 (HTTP 服务)
- 协议/服务:这是一个非标准的 HTTP 端口。通常,端口 2095 常用于 cPanel(一种流行的虚拟主机管理控制面板)的登录页面。
- 地理位置:探测结果显示该节点位于 澳大利亚 / 昆士兰州 / 布里斯班。这体现了 Cloudflare 的全球分布式网络特性,用户访问时会被调度到最近的节点。
- Banner 信息:
HTTP/1.1 301 Moved Permanently:服务器返回了 301 重定向状态码,意味着该地址永久指向了另一个地址。Server: cloudflare:明确标识了服务器使用的是 Cloudflare 的 CDN 服务。Date:显示了服务器响应的时间(2026年4月22日),这与当前的系统时间相符(虽然年份显示为2026年,可能是截图时的系统时间设定或模拟数据)。端口 2087 (HTTPS 服务)
- 协议/服务:这是一个 HTTPS 服务端口。端口 2087 通常也是 cPanel 的 SSL(加密)登录端口。
- 重定向信息:Banner 中显示
Location: https://one.one.one.one/。这是 Cloudflare 的标志性行为,它会将未配置特定域名的请求重定向到其公共 DNS 的欢迎页面one.one.one.one。- 一致性:地理位置和归属组织(Cloudflare, Inc.)与上面的 2095 端口完全一致。
总结
这张截图展示了利用 FOFA 对全球知名公共 DNS 服务
1.1.1.1进行的“指纹识别”。结果揭示了该 IP 背后强大的 CDN 网络架构(通过澳大利亚节点展示),并发现了其开放了通常用于主机管理面板的 2095/2087 端口。不过,由于 Cloudflare 的强大防护和重定向机制,直接访问这些端口并不会进入后台,而是会被引导至其官方主页。这体现了 FOFA 在识别网络资产分布和开放端口方面的强大能力。
知道这些信息能干什么
知道
1.1.1.1开放了2095和2087这些端口,并且背后运行着 Cloudflare 的服务,这在不同的人眼中有完全不同的用途。对于普通人来说,这只是一堆数据;但对于网络安全从业者或研究人员来说,这些信息就像是拿到了建筑物的“结构图”,可以用来做很多具体的事情。
我们可以从“防御者(白帽/企业)”和“攻击者(黑帽)”两个视角来分析:
对于防御者/研究员(白帽/企业)—— 用来“查漏补缺”
- 资产盘点与配置检查
- 用途:企业安全人员可以用它来检查自己的资产是否“裸奔”。
- 场景:比如你是某公司的管理员,你发现
1.1.1.1(或者你们公司的 IP)意外开放了2095端口(cPanel 面板)。这通常是不应该直接暴露在公网上的管理后台。FOFA 帮你发现了这个“违规暴露”的入口,你就可以赶紧把它关掉或加上防火墙。- 指纹识别与漏洞预警
- 用途:当某个软件(比如 cPanel 或 Cloudflare 的某个组件)爆出漏洞时,研究员可以迅速定位全网有多少设备受影响。
- 场景:假设 cPanel 的
2095端口有个新漏洞,安全人员会立刻用port="2095" && server="cpanel"这样的语法去搜,看看自己负责的网络里有没有中招的机器。- 网络测绘与研究
- 用途:了解大型厂商(如 Cloudflare)的架构分布。
- 场景:通过看地理位置(如截图中的“澳大利亚”),研究人员可以分析 Cloudflare 在全球的节点部署策略,或者测试其 CDN 的调度是否准确。
对于攻击者(黑帽/黑客)—— 用来“寻找猎物”
- 寻找攻击入口(踩点)
- 用途:黑客不直接攻击主站(通常防御很强),而是寻找边缘端口。
- 场景:看到
2095和2087这种非标准 Web 端口,黑客会兴奋。因为管理员往往只注意 80/443 端口的防护,容易忽略这些冷门端口。他们会尝试访问这些端口,看能不能绕过防御。- 弱口令爆破
- 用途:既然识别出这是 cPanel(一种主机管理面板),黑客就会尝试用“弱口令字典”去撞库。
- 场景:他们会写脚本,对着这个 IP 的
2087端口疯狂尝试admin/123456、root/password等常见密码。如果管理员太懒没改密码,服务器就被拿下了。- 版本漏洞利用
- 用途:利用特定软件的历史漏洞。
- 场景:Banner 信息里显示了
Server: cloudflare和具体的 HTTP 头信息。黑客会对比这些信息,看是否对应某个已知漏洞的特定版本。如果匹配,直接扔一个 exploit(漏洞利用代码)进去,就能控制服务器。总结
简单来说,这张图里的信息就像是一把钥匙的形状。
- 对于锁的主人(管理员):它提醒你“哎呀,这个锁孔露在外面了,得堵上”。
- 对于小偷(黑客):它意味着“这里有个锁孔,我拿我的万能钥匙(漏洞/爆破)试试能不能捅开”。
提醒:FOFA 本身是中立的测绘工具,利用这些信息进行未授权的扫描或攻击是违法的。普通人了解这些,主要是为了增强安全意识(比如不要乱开端口、不要用弱口令)。
cidr
cidr="192.168.1.0/24"
分析
通过分析图中的信息,我们可以解读出以下几个关键维度的内容:
1. 搜索意图与语法
- 搜索语法:顶部的搜索框显示使用了
cidr="192.168.1.0/24"。
- 含义:这是在搜索 IP 网段
192.168.1.0下的所有主机(通常指从192.168.1.1到192.168.1.254的范围)。- 矛盾点/特殊现象:
192.168.x.x是标准的私有 IP 地址(内网 IP),通常不会直接暴露在公网互联网上。但是,搜索结果却显示了公网 IP1.1.1.1。- 推测原因:这极有可能是因为 FOFA 的数据库中,某些设备的内网 IP 字段被错误标记,或者是因为 NAT(网络地址转换)/ 代理映射导致的显示问题。更可能的情况是,这只是用户随意输入的一个测试语法,而 FOFA 实际上返回了与某种特征匹配的公网资产(例如某些设备在响应包中声称自己是这个内网网段,或者这是 FOFA 的一个展示 Bug/特性)。
- 实际结果:尽管搜的是内网段,但系统提示有 6,907 条匹配结果,且展示的是 Cloudflare 的公网 IP。
2. 搜索结果概览(数据统计)
- 匹配数量:找到了 6,907 条匹配结果。
- 耗时:搜索仅耗时 98ms,显示其数据库响应速度非常快。
- 时间范围:筛选的是“最近一年”的数据。
3. 具体资产分析(右侧列表)
第一个结果 (1.1.1.1:2095)
- 目标 IP:
1.1.1.1。这是著名的 Cloudflare 公共 DNS 服务 IP,也是全球知名的 CDN 服务商。- 端口:
2095。这是一个非标准 HTTP 端口,通常用于 cPanel(一种常见的虚拟主机控制面板)的登录页面。- 地理位置:显示为 澳大利亚 / Queensland / Brisbane。这说明 FOFA 探测到的这个节点位于澳大利亚。
- 组织归属:
Cloudflare, Inc.。确认了这是 Cloudflare 的资产。- Banner 信息(关键元数据):
HTTP/1.1 301 Moved Permanently:服务器返回了重定向状态码。Server: cloudflare:明确标识了服务器使用的是 Cloudflare 的服务。Date:显示了响应时间(2026年4月22日,注意这个时间是未来的时间,可能是截图时的系统时间设置问题或者是模拟数据)。Content-Type: text/html:返回的是 HTML 内容。第二个结果 (1.1.1.1:2087)
- 目标 IP:依然是
1.1.1.1。- 端口:
2087。这也是 cPanel 常用的端口,通常用于 cPanel 的 HTTPS(SSL)管理登录。- Banner 信息:
- 同样返回
301 Moved Permanently。Location字段虽然被截断,但通常指向https://one.one.one.one/或者相关的 CDN 跳转页面。4. 左侧侧边栏(指纹与分布)
- 网站指纹排名:显示了一长串类似
0FC01Psf64j...的哈希值。这是 FOFA 特有的 Icon Hash(网站图标哈希)。这意味着在这个网段或这批资产中,使用了特定图标的网站数量很多。这通常用于寻找使用相同 CMS(内容管理系统)或相同后台模板的站点。- 国家/地区排名:
- 美国:5,829 条(占比最高)。
- 澳大利亚:1,078 条。
- 这与右侧显示的 IP 地理位置(澳大利亚)相吻合,说明这批资产主要分布在北美和大洋洲。
总结:这张图说明了什么?
- FOFA 的强大检索能力:它能快速从海量数据中筛选出特定网段(哪怕是看起来奇怪的私有网段)的开放端口和服务信息。
- Cloudflare 的广泛覆盖:搜索一个内网段却得出了 Cloudflare 的全球节点信息,说明 Cloudflare 的 CDN 节点(1.1.1.1)可能被某种方式映射或关联到了该查询特征上,或者仅仅是展示了 Cloudflare 在全球(美、澳)的大量开放端口(如 2087, 2095 等 cPanel 端口)。
- 资产暴露面:对于安全人员来说,这展示了如何通过端口号(2087/2095)发现潜在的管理后台入口。虽然这里是 Cloudflare 的 CDN 节点,但在真实攻击场景中,这往往是寻找后台登录口的有效方法。
一句话概括:这张图展示了利用 FOFA 搜索特定 IP 网段时,意外(或有意)发现了 Cloudflare 在全球(主要是美国和澳大利亚)开放的 cPanel 管理端口(2087/2095)及其详细的服务指纹信息。
那获取到这些信息之后可以干什么
拿到这些信息,就像是手里多了一张详细的“网络地图”,不同的人自然会有完全不同的玩法。对于企业安全人员、研究员(白帽子)来说,这些信息是防御和研究的宝贵情报;但对于攻击者(黑帽子)来说,这就是寻找突破口的“藏宝图”。
我们主要从合法的网络安全防御和研究角度来看,获取这些信息后通常可以做以下几件事:
🔍 资产梳理与“影子IT”发现(企业自用)
很多企业并不清楚自己到底有多少东西暴露在互联网上。
- 发现遗忘资产: 安全人员可以通过搜索自己公司的域名或 IP 段,发现那些被遗忘的测试服务器、旧的后台系统或开发环境。这些“影子资产”往往没人维护,最容易出事。
- 排查违规端口: 检查是否有员工私自搭建了服务(比如在这个例子里的
2095端口 cPanel 面板),这些非标准端口往往是安全盲区。🛡️ 漏洞排查与应急响应(全网排查)
当某个软件(如 Log4j2、WebLogic)爆出高危漏洞时,FOFA 是救火神器。
- 快速定位受影响范围: 比如某款摄像头爆出漏洞,研究员可以用语法
app="某品牌摄像头"瞬间找出全网有多少台该设备在线。- 版本确认: 通过 Banner 信息(如截图中的
Cloudflare和 HTTP 头),判断目标是否打了补丁,或者是否运行在易受攻击的版本上。📊 威胁情报与攻击面管理
- 寻找攻击入口: 攻击者会利用这些信息寻找防护最薄弱的环节。例如,他们可能会专门搜索
port="3389"(远程桌面)且country="CN"的服务器,尝试弱口令爆破。- 供应链分析: 通过分析某个大厂使用的所有技术栈(比如他们都用了哪家 CDN,哪家云服务商),攻击者可以寻找供应链上下游的薄弱环节。
📈 市场调研与商业分析
- 技术栈统计: 比如你想知道“Nginx 在中国的市场占有率”或者“有多少网站在使用 WordPress”,可以通过 FOFA 的统计数据得出大致结论。
- 竞争对手分析: 查看竞争对手暴露了哪些业务系统,推测其业务规模和技术架构。
⚠️ 针对截图中
1.1.1.1的具体分析场景回到你刚才截图中的
1.1.1.1:2095这个例子,获取到这个信息后,通常会有以下操作:
- 验证服务可用性: 尝试访问
https://1.1.1.1:2095,看是否真的能打开 cPanel 登录界面。- 判断是否为蜜罐或误报: 因为
1.1.1.1是 Cloudflare 的公共 IP,通常不应该开放这种管理端口。安全人员会分析这是否是 Cloudflare 内部用于某种特殊管理的接口,或者是 FOFA 的扫描误判(例如 CNAME 记录导致的关联错误)。- 检查配置错误: 如果这真的是一个暴露在公网的管理面板,管理员需要立即检查是否有弱口令,或者是否应该限制访问 IP(ACL),防止被暴力破解。
🚫 风险提示
拥有信息 ≠= 可以随意操作。
- 合法用途: 上述的资产梳理、漏洞自查、学术研究是合法的。
- 非法用途: 如果你利用这些信息,对非自己授权的IP进行扫描、渗透、攻击、植入木马,则属于违法犯罪行为(在中国涉及《网络安全法》、破坏计算机信息系统罪等)。
总结:
获取这些信息,是为了“看见”。看见风险,才能防御风险;看见资产,才能管理资产。FOFA 本身是中立的工具,关键在于使用它的人是想做“修锁的锁匠”还是“撬锁的小偷”。
domain/host:搜索与特定域名相关的资产。domain="example.com"会找出所有属于该公司的子域名和主机,是进行企业资产梳理的起点。
domain
domain="example.com"
分析
这张截图展示了在 FOFA 中搜索
domain="example.com"的结果。这是一个非常标准的“根域名资产梳理”场景。简单来说,你是在问 FOFA:“在这个互联网上,有哪些具体的 IP 和服务是直接属于 example.com 这个主域名及其所有子域名的?”
以下是详细的分析:
搜索语法解读
domain="example.com":
- 这是一个非常精准的搜索语法。它不仅搜索
example.com本身,还会搜索它的所有子域名(如www.example.com,mail.example.com等)。- 它通过解析域名的 DNS 记录(A 记录、AAAA 记录等),找到背后对应的真实 IP 地址,并展示这些 IP 上开放的端口和服务。
核心结果分析
图片右侧展示了两个主要的搜索结果卡片,它们揭示了该域名的基础设施情况:
结果一:HTTPS 服务(上方卡片)
- URL:
https://www.example.com- 端口:
443(标准的 HTTPS 加密端口)。- IP 地址:
104.20.23.154。- 地理位置:美国 / 加利福尼亚州 / 旧金山。
- 服务商:Cloudflare, Inc.。
- 标题:
Example Domain。- 关键 Header 信息:
HTTP/2.0 200 OK:网站正常运行,使用了 HTTP/2 协议。Cf-Cache-Status: HIT:这再次证实了流量经过了 Cloudflare 的 CDN 缓存,且命中了缓存。- 证书信息:显示有
Certificate按钮,且使用了TLS 1.3协议,说明加密配置是现代且安全的。结果二:HTTP 服务(下方卡片)
- URL:
www.example.com- 端口:
80(标准的 HTTP 非加密端口)。- IP 地址:
172.66.147.243。- 地理位置:同样是美国 / 旧金山。
- 服务商:同样是 Cloudflare。
- 状态:
HTTP/1.1 200 OK,说明该端口也正常提供服务(通常会重定向到 HTTPS,但这里显示 200 OK,可能是直接返回了内容)。左侧统计数据解读
- 国家/地区排名:
- 美国:6 条结果。这说明
example.com的所有解析 IP 目前都位于美国。对于全球通用的示例域名来说,这是符合预期的。- 端口排名:
- 443 (2条) 和 80 (2条):这是最基础的 Web 服务端口。
- 2083, 2096:这些是 cPanel(一种主机管理面板)的常用端口。这暗示
example.com的服务器后端可能使用了 cPanel 进行管理,或者其托管服务商默认开启了这些端口。总结:这张图告诉了我们什么?
- 使用了 CDN 防护:该域名完全托管在 Cloudflare 上。这意味着你看到的 IP(104.20.x.x 和 172.66.x.x)是 Cloudflare 的代理 IP,而不是源站服务器的真实 IP。这对攻击者来说是“隐身”,对防御者来说是“防护”。
- 基础设施简单:这是一个非常干净、标准的 Web 配置,只开放了必要的 Web 端口(80/443)和可能的管理面板端口。
- 全球可达性:虽然 IP 在美国,但通过 Cloudflare 的全球网络,世界各地的用户都能快速访问。
一句话总结:
这张图展示了example.com这个域名完全依赖 Cloudflare 进行流量分发和防护,其对外暴露的资产主要是位于美国的 Web 服务端口,且没有明显的异常或高危端口暴露。
知道这些信息能干什么
这张图展示了针对
example.com这个域名的资产测绘结果。虽然example.com是一个用于教学演示的保留域名,但在真实场景中,这种搜索和分析(针对某个具体域名)是网络安全、渗透测试和情报收集中最基础也最关键的一步。知道这些信息(IP、端口、服务商、状态码、证书等),主要能用于以下几个方面:
攻击面分析(渗透测试/红队视角)
如果你是负责安全测试的人员(或者攻击者),这些信息告诉你从哪里入手:
- 寻找非CDN的真实IP:
- 图中显示该域名使用了 Cloudflare(全球著名的CDN和防御服务商)。通常直接攻击
104.20.x.x这种 IP 是无效的,因为流量会被 Cloudflare 清洗。- 用途:测试人员会结合历史数据(FOFA的历史趋势功能),查看在接入 Cloudflare 之前,这个域名是否解析过其他真实IP。如果找到了真实IP,就可以绕过CDN直接攻击源站。
- 端口服务探测:
- 图中显示了 80 和 443 端口。
- 用途:
- 端口 80:检查是否强制跳转 HTTPS,或者是否存在 HTTP 请求走私等漏洞。
- 端口 443:检查 TLS/SSL 配置是否过时(如支持 SSLv3),或者检查证书是否即将过期。
- 技术栈识别:
- 图中显示
Server: cloudflare和HTTP/2.0。- 用途:攻击者会针对特定的 Web 服务器版本寻找已知的漏洞(Exploit)。虽然这里显示的是 Cloudflare,但如果发现后端泄露了
nginx或Apache的版本号,就会成为攻击目标。资产梳理与管理(蓝队/运维视角)
如果你是这个域名的管理员,这些信息能帮你“排雷”:
- 发现“影子IT”:
- 有时候公司内部开了一个测试站点(比如
test.example.com),忘了下线,也没做安全防护。通过 FOFA 搜索domain="example.com",管理员能一眼看到所有暴露在公网的资产。- 如果你发现了一个你自己都不知道的 IP(比如图中出现了两个不同的 IP),说明可能存在违规搭建的服务,需要立即排查。
- 检查配置合规性:
- 用途:确认是否全站开启了 HTTPS(443端口)。图中显示 80 端口也有响应,管理员需要确认 80 端口是否正确重定向到了 443,防止明文传输风险。
- 验证CDN生效情况:
- 用途:确认流量是否真的走了 Cloudflare。如果某个子域名的 IP 解析出来是阿里云或腾讯云的 IP,而不是 Cloudflare 的 IP,说明 CDN 配置漏了,容易受到 DDoS 攻击。
商业情报与竞品分析
- 基础设施侦察:
- 用途:通过查看竞争对手的域名解析情况,可以分析他们的架构。比如,他们是用 AWS 还是 Cloudflare?他们在哪些国家部署了节点?
- 图中显示节点在“美国/旧金山”,这暗示了该服务的主要源站可能位于美西。
总结
这张图看似简单,但它展示了“通过域名反查基础设施”的全过程。
- 对于坏人:这是寻找突破口(绕过CDN、找老旧服务)的第一步。
- 对于好人:这是清点家底(防止资产遗漏、确保防御生效)的必要手段。
host
host="edu.cn"
分析
这张截图非常有意思,它揭示了 FOFA 搜索中一个典型的“假阳性”或“恶意利用”场景。
虽然搜索语法是
host="edu.cn"(通常指代中国教育网的正规域名),但搜索结果展示的却是一堆看起来非常可疑的垃圾域名。搜索意图
- 语法:
host="edu.cn"- 预期目标:用户本意是想查找所有包含
edu.cn后缀的资产,通常是为了研究中国高校的网络暴露面、寻找学校官网或教务系统等。结果概览
- 数据量巨大:FOFA 显示找到了 741,043 条匹配结果,涉及 35,756 个独立 IP。这说明包含这个字符串的数据非常泛滥。
- 左侧统计:
- 相关 Icon:显示了一些常见的 Web 服务图标(如 Nginx、Apache 等),说明这些主机大多运行着 Web 服务。
- 国家/地区排名:中国以 689,199 条高居榜首,符合
edu.cn的地域属性。但同时也出现了中国香港、美国等地的数据,暗示了海外节点或 CDN 的存在。核心异常点分析(右侧列表)
这才是这张图最值得分析的地方。请看右侧展示的具体结果:
奇怪的域名结构:
- 第一个结果:
edu.cn.777170962396888.lanjiann...- 第二个结果:
edu.cn.71516470972711343.lanjiann...- 分析:这不是真正的
xxx.edu.cn域名!这是xxx.lanjiann...域名,只是在它的子域名部分包含了edu.cn这个字符串。这种结构通常是恶意泛解析或SEO 劫持的典型特征。IP 地址与归属:
- IP:
38.190.244.1- 归属地:中国香港特别行政区
- ISP:SonderCloud Limited
- 分析:正规的中国高校教育网 IP 通常位于中国大陆,且归属于各大高校或教育网中心(CERNET)。而这个 IP 位于香港,属于一个商业云计算服务商。这进一步证实了这些不是正规教育网资产。
HTTP 响应状态:
- 标题:
503 Service Temporarily Unavailable(服务暂时不可用)- Server:
nginx- 分析:这些恶意域名配置了 Nginx 服务器,但目前处于不可用状态(可能是被封锁了,或者后端挂了)。
总结:这张图说明了什么?
这张图生动地展示了搜索引擎的“包含匹配”机制带来的干扰。
- 现象:当你搜索
host="edu.cn"时,FOFA 会把所有主机头(Host)中包含edu.cn字符串的记录都抓出来,不管它是在域名的开头、中间还是结尾。- 真相:图中的结果并不是清华大学或北京大学,而是一群利用
edu.cn关键词进行 SEO 作弊或被黑客劫持的垃圾站点。攻击者注册了lanjiann...这种域名,然后配置了包含edu.cn的子域名,试图欺骗搜索引擎或防火墙,让流量以为这是教育网的可信站点。结论:在使用 FOFA 时,如果想找真正的教育网资产,建议使用更精确的语法,例如
domain="edu.cn"(匹配根域)或者suffix="edu.cn"(匹配后缀),以过滤掉这些“挂羊头卖狗肉”的垃圾数据。
知道这些信息能干什么
这张图展示了一个非常典型的“利用搜索引擎语法特性发现黑产/恶意资产”的场景。
当你看到
edu.cn出现在域名的中间部分(例如edu.cn.7771...lanjiang...),而不是结尾部分,并且 IP 指向的是海外的商业云服务商时,这就不仅仅是“信息收集”了,而是直接揭示了网络黑产的操作手法。知道这些信息(即:有人利用包含
edu.cn的泛解析域名进行恶意活动),可以用于以下几个方面:🔎 识别与防御 SEO 劫持(黑帽 SEO)
这是最直接的用途。
- 现象解读:黑产人员注册了
lanjiangjixie.cn这种看似正常的域名(可能是“蓝江机械”的拼音),然后开启了泛解析。他们生成了无数个以edu.cn为子域名前缀的地址。- 目的:利用
edu.cn(教育机构)的高权重。搜索引擎(如百度、Google)通常给予.edu.cn域名极高的信任度。黑产通过这种方式,试图欺骗搜索引擎爬虫,让他们的赌博、色情或非法广告页面获得更好的排名。- 你能干什么:
- 如果你是搜索引擎工程师:你可以利用这个特征优化算法,识别并惩罚这种利用子域名欺骗权重的行为。
- 如果你是网络安全分析师:你可以将这些域名加入威胁情报库,标记为“SEO 欺诈”或“恶意泛解析”。
🛡️ 网络钓鱼与反诈预警
- 风险分析:普通用户看到网址里有
edu.cn,会下意识地认为这是某个大学的官方网站,从而降低警惕。- 你能干什么:
- 浏览器/安全软件厂商:可以将这类特征(
edu.cn非后缀结尾 + 海外 IP + 503 错误)作为规则,直接在浏览器中拦截并提示用户“该网站涉嫌欺诈”。- 高校信息中心:虽然这些不是学校的资产,但学校可以发布预警,告知师生“近期有假冒学校名义的钓鱼网站,请注意甄别域名后缀”。
🧹 资产清洗与误报排除
- 场景:假设你是某教育网的管理人员,你想统计自己辖区内有多少资产。
- 你能干什么:
- 如果你只搜
host="edu.cn",你会得到 74 万条垃圾数据(如截图所示)。- 知道这个信息后,你会修正你的搜索语法为
suffix="edu.cn"(仅匹配后缀),从而过滤掉这几十万的噪音,得到真实的教育网资产列表。🌐 追踪黑产基础设施
- 关联分析:截图中的 IP
38.190.244.1归属SonderCloud Limited。- 你能干什么:
- 安全研究员可以反查这个 IP 或这个 ISP(服务商)下还有哪些类似的域名。
- 通过分析这些域名的注册信息(Whois),可能顺藤摸瓜找到背后运营这个“泛解析平台”的黑产团伙。
📌 总结
这张图告诉我们:不要盲目相信搜索结果。
知道这些信息,最大的作用就是“去伪存真”——帮你识别出哪些是真正的教育网资产,哪些是披着羊皮(包含 edu.cn 字样)的狼(海外黑产服务器)。
title
title:搜索网页标题。这是定位特定系统最快的方式之一。比如,title="管理后台"或title="登录",能帮你快速找到各类系统的登录入口。
title="管理后台"
分析
这张截图展示了在 FOFA 平台上搜索
title="管理后台"的结果。这其实是在进行一种非常直接的“关键字测绘”。简单来说,你是在让搜索引擎帮你寻找网页标题中包含“管理后台”这四个字的所有网站。这通常意味着你正在寻找那些未公开、未受保护或者配置不当的后台登录入口。
以下是对图片内容的详细分析:
搜索意图与结果概览
- 搜索语法:
title="管理后台"- 匹配数量:高达 153,257 条匹配结果,涉及 68,962 个独立 IP。
- 含义:这说明互联网上有大量的管理系统直接暴露了默认标题,或者开发者没有修改默认的页面标题。这是一个非常宽泛的搜索,通常会包含大量误报(比如测试页面)和真实的业务后台。
具体目标分析(右侧列表)
图片右侧展示了两个具体的搜索结果,它们非常有代表性:
目标一:短视频管理后台
- IP地址:
39.97.254.87- 归属地:中国 / 北京市
- 运营商:Hangzhou Alibaba Advertising Co.,Ltd.(阿里云)
- 页面标题:
短视频管理后台- 端口:
80- HTTP状态:
200 OK(网站正常运行)- 分析:这是一个运行在阿里云上的短视频平台管理系统。标题直接暴露了业务类型(短视频)。通常这类后台如果直接暴露在公网且没有强密码保护,风险极高。
目标二:联鸿管理后台
- IP地址:
39.107.245.182- 端口:
50001(这是一个非标准端口,通常用于特定的应用服务)- 归属地:中国 / 北京市
- 运营商:Hangzhou Alibaba Advertising Co.,Ltd.(阿里云)
- 页面标题:
联鸿管理后台- HTTP状态:
200 OK- 分析:这是一个运行在非标准端口(50001)上的管理系统,名为“联鸿”。使用非标准端口通常是为了避开常规的扫描,但在 FOFA 这种全端口扫描工具面前依然无所遁形。
左侧统计数据(指纹与分布)
- 网站指纹排名:
- 列表显示了一串看似乱码的字符(如
Mc7GaFnA0hJeKnhyuoEPzg==)。这实际上是 网站图标哈希值。- 用途:这意味着有很多后台使用了相同的系统模板或相同的开发框架。攻击者可以通过点击这些哈希值,一键找到使用同一套代码开发的所有后台,一旦发现一个漏洞,就可以批量攻击。
- 国家/地区排名:
- 中国以 113,270 条高居榜首,占据了绝大多数。这说明使用中文作为后台标题的系统主要集中在中国国内。
潜在风险与用途
这种搜索通常用于以下目的:
- 寻找弱口令目标:黑客喜欢用这种搜索找到后台登录页,然后尝试
admin/admin、admin/123456等弱口令。- 挖掘未授权访问:有些后台虽然标题叫“管理后台”,但可能配置错误,直接进入就能看到数据,无需登录。
- 供应链攻击:通过分析左侧的“网站指纹”,如果发现某个特定的开源后台系统(如某款CMS)有大量实例,黑客会集中挖掘该系统的0day漏洞。
总结: 这张图展示了互联网上大量“裸奔”的管理后台。它们就像一个个没有锁好的房间门,虽然门牌号(标题)写着“重地”,但如果没有强壮的锁(身份验证和访问控制),任何人都可以推门而入。
知道这些信息能干什么
搜索
title="管理后台"能搜出十几万条结果,这其实是网络空间测绘中最简单粗暴、但也最直接的一种“捡漏”方式。这背后的核心逻辑在于,很多开发者在上线系统时非常粗心,直接沿用了开发框架或模板自带的默认标题(比如“XX管理系统”、“后台登录”),从而把自己的管理入口完全暴露在了公网。
掌握这些信息,对于不同角色的人有着完全不同的用途:
🛡️ 攻击者视角(黑产/渗透测试人员)
攻击者利用这些信息主要进行“广撒网”式的攻击,寻找低垂的果实:
寻找弱口令入口
- 逻辑:普通的网站(如企业官网)通常有专门的运维人员维护,安全性较高。但这种搜索出来的“管理后台”往往是内部系统、测试系统或被遗忘的旧系统。
- 操作:攻击者会编写脚本,批量访问这些 IP,尝试使用
admin/admin、admin/123456、root/root等默认弱口令进行登录。很多小型管理系统(如“短视频管理后台”)往往就是使用默认密码,一旦被攻破,就能直接控制整个系统。寻找未授权访问漏洞
- 逻辑:很多开发人员为了方便调试,会配置“允许所有 IP 访问”或者“免登录进入”。
- 操作:攻击者直接访问这些链接,看是否能跳过登录界面直接进入后台。如果成功,就能直接窃取数据(如用户信息、视频资源、订单数据等)。
识别特定 CMS 或框架漏洞
- 逻辑:虽然这里搜的是标题,但结合左侧的“相关 Icon”或页面特征,可以判断出后台使用的是什么程序(如 Dedecms、Discuz、或者某种特定的 Java/PHP 框架)。
- 操作:一旦确定程序类型,就可以利用该程序已知的 CVE 漏洞(如 SQL 注入、文件上传漏洞)进行批量攻击。
供应链攻击跳板
- 逻辑:图中的 IP 大多属于阿里云等云服务商。攻击者如果能拿下这个“管理后台”所在的服务器,就可以以此为跳板,进一步攻击该云服务商内网的其他高价值目标。
🚨 防御者视角(安全研究员/企业安全人员)
对于企业安全人员或白帽子来说,这些信息用于资产清点和风险排查:
发现“影子资产”
- 用途:大型企业内部部门众多,开发团队可能私自上线了一个“联鸿管理后台”用于测试,但测试完后忘记下线,也没有报备给安全部门。
- 操作:安全人员通过搜索公司相关的关键词,发现这些未知的、未受监管的资产,然后联系负责人进行整改或下线。
检查暴露面
- 用途:确认公司的管理后台是否错误地配置了公网访问权限。
- 操作:正常的管理后台应该只允许公司内网 IP 访问,或者通过 VPN 访问。如果 FOFA 能搜到,说明防火墙策略配置错误,需要立即限制访问来源 IP(ACL)。
钓鱼演练目标
- 用途:在进行红蓝对抗演练时,蓝队可能会监控这些暴露的后台,看是否有异常的登录行为,以此作为发现攻击者的诱饵(蜜罐思路)。
📌 总结
简单来说,
title="管理后台"这个搜索语法就像是在互联网上寻找“没锁门的后门”。
- 对于坏人:这是寻找最容易入侵目标的捷径(弱口令、未授权访问)。
- 对于好人:这是检查自己家是否“忘记关窗户”的有效手段。
body
body:搜索网页 HTML 源码内容。当你知道某个系统特有的文字或代码片段时,这个字段非常有用。例如,body="Powered by WordPress"可以找到所有用 WordPress 搭建的网站。
body="Powered by WordPress"
分析
搜索语法解读
body="Powered by WordPress":
- 这是一个基于网页内容的搜索。
- 它查找的是网页源代码中包含字符串“Powered by WordPress”的页面。通常,这句话出现在WordPress博客主题的页脚,意味着该网站是由WordPress系统构建的。
搜索结果概览
- 匹配数量:1,077,989 条匹配结果,涉及 250,681 个独立 IP。
- 含义:这显示了WordPress作为全球最流行的CMS(内容管理系统)之一的巨大市场占有率。同时也意味着,针对WordPress的漏洞利用具有极大的潜在影响范围。
具体结果分析(右侧列表)
结果一:荷兰的WordPress站点
- IP地址:
193.168.173.139- 标题:
Festive Mails – Your Ultimate Guide to …(看起来像是一个邮件营销或节日祝福类的博客)。- 地理位置:荷兰 / 阿姆斯特丹。
- 服务商:Kamatera Inc(一家云主机服务商)。
- 技术指纹:
Apache/2.4.6 (CentOS):运行在CentOS操作系统上的Apache服务器。Link: <http://festivemails.com/index.php/wp-json/>:这是一个非常关键的信息。wp-json是WordPress REST API的端点,它的存在进一步确认了这是WordPress站点,并且API功能是开启的。- 端口:
80(HTTP)。结果二:美国的WordPress站点
- URL:
https://thefappeningcelebs.com.domranko.com(这个域名看起来很奇怪,像是一个子域名或者被劫持的域名)。- IP地址:
140.99.244.69- 地理位置:美国 / 德克萨斯州 / 达拉斯。
- 服务商:Hawk Host Inc.(一家知名的虚拟主机提供商)。
- 端口:
443(HTTPS)。- Header信息:显示了HTTP/1.1 200 OK,以及HTTP/2的相关配置(Alt-Svc)。
左侧统计数据
- 相关Icon:WordPress的图标排在第一位(999+),说明绝大多数结果确实是WordPress站点。
- 网站指纹排名:
- 这一栏显示的是一长串Base64编码的哈希值。这些通常是网页的特定指纹(如
faviconhash或body的hash)。- 排名第一的指纹有51,978个结果,这很可能是WordPress默认主题或通用插件的某种特征码。
- 国家/地区排名:
- 美国以62万+的结果遥遥领先,这与美国作为互联网基础设施大国的地位相符。
- 德国、日本、英国、法国紧随其后。
总结与风险提示
这张图展示了“基于技术栈的大规模资产发现”。
对于攻击者:
- 漏洞利用:知道了这些是WordPress站点,攻击者会立即尝试利用已知的WordPress核心漏洞、主题漏洞或插件漏洞(如Elementor、WooCommerce等的漏洞)。
- 弱口令爆破:针对
/wp-login.php进行密码爆破。- 版本探测:通过
readme.html或特定路径探测WordPress的具体版本号,寻找未修补的旧版本。对于防御者:
- 指纹隐藏:建议移除页脚的“Powered by WordPress”字样,减少被自动化工具扫描到的概率(虽然不能完全隐藏,但能增加难度)。
- 安全加固:确保所有暴露在这个列表中的站点都及时更新了核心、主题和插件。
知道这些信息能干什么
搜索
body="Powered by WordPress"能定位到上百万个使用 WordPress 搭建的网站。这就像在大街上找到了所有开着同一品牌车门的人,接下来就可以针对这个品牌的通病进行“批量操作”。掌握这些信息,对于不同的人来说,用途截然不同:
⚔️ 攻击者视角(寻找批量漏洞)
攻击者利用这些信息,主要是为了进行自动化、批量的漏洞利用:
版本漏洞攻击
- 逻辑:虽然搜索语法只定位了“使用了WordPress”,但攻击者会进一步探测这些网站的具体版本号(如 4.6、5.0 等)。
- 操作:如果某个旧版本(例如 WordPress 4.6)存在著名的“远程代码执行”漏洞(如 CVE-2016-10033),攻击者就可以编写脚本,对这 100 多万个目标进行批量扫描。一旦匹配成功,就能直接接管网站服务器。
插件/主题指纹识别
- 逻辑:
body="Powered by WordPress"往往意味着该网站保留了默认的主题或页脚。这类网站通常维护较少,或者管理员安全意识薄弱。- 操作:攻击者会进一步扫描这些网站安装了什么插件(如
wp-content/plugins/目录)。如果发现使用了有已知漏洞的插件(如某些付费插件的破解版),就可以直接利用漏洞上传 Webshell(后门文件)。弱口令爆破
- 逻辑:找到 WordPress 站点后,攻击者会尝试访问其登录入口(通常是
wp-login.php或wp-admin)。- 操作:利用庞大的目标列表,使用字典对用户名(如 admin)和密码进行暴力破解。因为基数大(上百万个目标),即使成功率只有 0.1%,也能获得数千个网站的控制权。
挂马与SEO投毒
- 目的:一旦攻破了这些 WordPress 网站,攻击者通常不会破坏网站,而是悄悄植入赌博、色情链接(暗链),或者将网站跳转到非法页面。
- 收益:利用这些正规网站的权重(权重通常比非法网站高)来提升非法内容的搜索引擎排名。
🛡️ 防御者/研究员视角(资产治理与情报)
对于安全人员或数据分析师,这些信息用于宏观分析和合规检查:
供应链安全分析
- 用途:如果一个公司声称自己使用的是自研系统,但被 FOFA 扫出
Powered by WordPress,这就暴露了其技术底细。安全人员可以据此评估其可能面临的风险(例如是否及时更新了 WordPress 核心补丁)。漏洞影响范围评估
- 用途:当 WordPress 官方发布一个紧急高危漏洞(0day 或 1day)时,企业安全团队会立即使用这个语法搜索全网,看看自己的资产库中有哪些站点使用了受影响的版本,从而优先进行修补。
市场调研
- 用途:分析 WordPress 在全球不同国家(左侧地图显示了美国、德国、日本等分布)的占有率,或者分析哪些主机商(如 Kamatera, Hawk Host)最受 WordPress 用户欢迎。
📌 总结
这张图里的信息,本质上是一份“全球百万级 WordPress 目标清单”。
- 对于黑客:这是待收割的“肉鸡”名单,用于挂黑链、挖矿或作为跳板。
- 对于管理员:这是自查清单,确认自己的网站是否因为使用了通用的开源程序而暴露在风险中。
header
header:搜索 HTTP 响应头。可以用来识别服务器类型,如header="nginx"。
header="nginx"
分析
这张图片展示了在 FOFA(网络空间测绘引擎)中搜索
header="nginx"的结果。简单来说,这是在寻找所有 HTTP 响应头中包含 "nginx" 字样的服务器。这通常意味着这些服务器正在使用 Nginx 作为 Web 服务器或反向代理。
以下是详细的内容分析:
搜索意图与结果概览
- 搜索语法:
header="nginx"
- 这是针对 HTTP 响应头(Response Header)的搜索。当浏览器或工具访问一个网站时,服务器会返回一些元数据,其中
Server: nginx是最常见的标识。- 匹配数量:309,790,830 条匹配结果,涉及 48,183,661 个独立 IP。
- 含义:这是一个极其庞大的数字,说明 Nginx 是全球互联网基础设施中最核心的组件之一。它的高性能使其成为处理高并发流量的首选。
具体目标分析(右侧列表)
图片右侧展示了两个具体的搜索结果,代表了不同类型的 Nginx 部署:
目标一:阿里云上的 Nginx 服务
- IP地址:
47.116.19.55- 端口:
7144(非标准端口,通常用于特定应用或内部服务暴露)- 归属地:中国 / 上海市
- 运营商:Hangzhou Alibaba Advertising Co.,Ltd.(阿里云)
- 响应头信息:
Server: nginx:明确标识使用了 Nginx。HTTP/1.1 200 OK:服务正常运行。Transfer-Encoding: chunked:分块传输编码,常用于动态内容。- 分析:这是一个部署在阿里云上海节点的服务,运行在非标准端口上。这可能是某个用户的测试环境、API 接口服务,或者是被配置为反向代理的后端服务。
目标二:荷兰的 Nginx 服务
- IP地址:
45.139.196.66- 端口:
443(HTTPS 标准端口)- 归属地:荷兰 / 阿姆斯特丹
- 运营商:Packet Star Networks Limited
- 响应头信息:
Server: nginx:同样标识使用了 Nginx。Content-Length: 3:返回的内容非常短,可能是一个重定向页面或简单的健康检查接口。Content-Type: text/html:返回的是 HTML 内容。- 分析:这是一个部署在荷兰的 HTTPS 服务。由于端口是 443,说明它提供了加密的 Web 服务。
左侧统计数据(指纹与分布)
- 网站指纹排名:
- 列表显示了一串看似乱码的字符(如
0FC01Psf64jTBZwBfHZoDg==),这实际上是 FOFA 对网站图标(Icon)或特定页面内容的哈希值。- 用途:这些哈希值可以用来进一步筛选特定类型的网站。例如,如果某个特定的 CMS(如 WordPress)或后台系统有独特的图标,可以通过
icon_hash="..."来精确搜索。- 国家/地区排名:
- 美国:80,646,904
- 中国:44,840,611
- 中国香港:42,248,658
- 德国:22,986,930
- 日本:10,869,771
- 分析:美国和中国是使用 Nginx 最多的两个国家,这与两国的互联网基础设施规模和云计算普及程度相符。中国香港的高排名可能与其作为国际数据中心和中转站的地位有关。
总结
这张图展示了 Nginx 在全球互联网中的统治级地位。对于安全研究人员来说,这是一个巨大的攻击面;对于运维人员来说,这是一个需要重点监控和保护的基础设施组件。
关键风险点:
- 版本泄露:
Server: nginx直接暴露了服务器类型,攻击者可以针对性地寻找 Nginx 的已知漏洞。- 配置错误:Nginx 的配置文件(nginx.conf)如果配置不当,可能导致目录遍历、信息泄露等问题。
- 反向代理漏洞:Nginx 常被用作反向代理,如果配置不当,可能导致后端真实 IP 泄露或 SSRF(服务器端请求伪造)漏洞。
知道这些信息能干什么
搜索
header="nginx"能获得约 3 亿条结果,这相当于拿到了互联网基础设施的一张“骨干网地图”。因为 Nginx 是目前世界上使用最广泛的 Web 服务器和反向代理软件,掌握这些信息意味着你触及了互联网的“大动脉”。具体来说,这些信息可以用于以下几个方面:
⚔️ 攻击者视角(寻找特定漏洞与架构弱点)
对于攻击者来说,Nginx 虽然稳定,但配置不当或特定版本的漏洞依然致命:
Nginx 解析漏洞利用
- 原理:历史上 Nginx 曾出现过著名的“解析漏洞”(如 CVE-2013-4547)。如果 Nginx 配置不当,攻击者可以上传一个看似无害的文件(如
test.jpg),但通过构造特殊的 URL(如test.jpg[space].php),诱骗 Nginx 将其作为 PHP 脚本执行。- 用途:攻击者利用这个庞大的 IP 列表,批量扫描是否存在这种配置错误的 Nginx 服务器,进而上传 Webshell 控制服务器。
针对反向代理的配置错误
- 原理:Nginx 常被用作反向代理(将请求转发给后端服务器)。如果配置不当(如“CRLF 注入”或“缓存投毒”),攻击者可以通过 Nginx 访问到本应内网隔离的后端接口,或者绕过访问控制。
- 用途:搜索
header="nginx"找到入口,然后尝试通过目录穿越或特殊的 HTTP 头(如X-Original-URL)来探测后端真实服务。版本指纹识别与针对性攻击
- 原理:虽然这里只搜了 "nginx",但进一步访问这些 IP,往往能获取到具体的版本号(如
Server: nginx/1.18.0)。- 用途:如果某个特定版本(如旧版本的 Nginx)爆出了高危漏洞(如内存越界读取),黑客就可以直接对这个 3 亿条记录的列表进行“地毯式轰炸”,寻找未打补丁的服务器。
高价值目标筛选
- 逻辑:通常只有流量较大、架构较成熟的互联网公司才会大规模使用 Nginx 做负载均衡。
- 用途:相比于搜索
Apache或IIS,搜索Nginx更容易筛选出具备一定规模的中大型互联网资产,这些目标的数据价值通常更高。🛡️ 防御者/研究员视角(测绘与合规)
对于安全人员和研究人员,这些数据是互联网测绘的基础:
市场占有率统计
- 用途:用来分析 Web 服务器市场的份额变化。例如,对比 Nginx、Apache、Cloudflare 和 IIS 的使用趋势,观察谁在增长,谁在衰退。
漏洞响应与排查
- 场景:当 Nginx 官方发布了一个紧急安全补丁(例如修复了一个远程代码执行漏洞)时,企业的安全团队会使用 FOFA 搜索
header="nginx"加上特定的版本号,来快速确认公司内网或公网资产中有哪些服务器受到了影响,以便紧急修复。CDN 与云服务商识别
- 用途:Nginx 是大多数 CDN(内容分发网络)和云负载均衡器的核心组件。通过分析这些 IP 的归属地(如左侧的地图分布),可以了解全球流量的调度情况,或者识别出哪些 IP 是 CDN 节点,哪些是源站 IP。
总结
搜索
header="nginx"得到的这 3 亿条数据,本质上是互联网流量的“收费站”列表。
- 对黑客:这是寻找高性能服务器漏洞、尝试反向代理绕过、挖掘解析漏洞的“狩猎场”。
- 对安全专家:这是评估互联网基础设施健康状况、统计技术栈占比、排查紧急漏洞影响范围的重要数据源。
app
app:FOFA 通过综合指纹识别出的具体应用。这比server字段更准确,例如app="Apache-Tomcat"。
app="Apache-Tomcat"
分析
搜索语法解读
app="Apache-Tomcat":这是一个基于应用指纹的搜索。FOFA 通过识别 HTTP 响应头、页面特征、默认文件等特征,判断目标是否运行了 Tomcat 服务。搜索结果概览
- 匹配数量:4,729,499 条匹配结果,涉及 1,849,559 个独立 IP。
- 含义:这表明 Tomcat 作为 Java Web 应用最主流的容器,在全球范围内有着极其广泛的部署。这也意味着,针对 Tomcat 的漏洞(如弱口令、反序列化漏洞)具有极大的潜在攻击面。
具体结果分析(右侧列表)
结果一:阿里云上的 Tomcat 服务
- IP 地址:
47.97.112.131- 端口:
8181(非标准端口,通常用于测试或内部服务)- 标题/版本:
Apache Tomcat/8.5.40- 地理位置:中国 / 浙江省 / 杭州
- 服务商:Hangzhou Alibaba Advertising Co.,Ltd.(阿里云)
- 响应头信息:
HTTP/1.1 200:服务正常运行。Content-Type: text/html;charset=UTF-8:返回的是 HTML 页面,编码为 UTF-8。- 分析:这是一个部署在阿里云杭州节点的 Tomcat 服务,版本为 8.5.40。该版本发布于 2019 年,可能存在已知的安全漏洞(如 CVE-2020-1938 Ghostcat 漏洞,虽然该漏洞主要影响 AJP 协议,但也提示了版本老旧的风险)。
结果二:美国得克萨斯州的 Tomcat 服务
- URL:
https://64.194.212.120:8888- IP 地址:
64.194.212.120- 端口:
8888(常用于 Web 管理界面或测试服务)- 地理位置:美国 / Texas / Irving
- 服务商:Lingo Telecom, LLC
- 响应头信息:
HTTP/1.1 302 Found:这是一个重定向响应。Location: https://64.194.212.120:8888/SSConfig:重定向到了/SSConfig路径,这可能是一个特定的应用配置页面。Server: Apache-Coyote/1.1:这是 Tomcat 的默认连接器标识,进一步确认了服务类型。Set-Cookie: JSESSIONID=...:这是 Java Web 应用的典型会话标识,表明该服务是一个 Java 应用。- 分析:这是一个部署在美国的 Tomcat 服务,运行在 8888 端口,并且配置了重定向。
/SSConfig路径可能是一个特定的管理或配置界面,值得进一步关注。潜在风险与用途
弱口令爆破
- 逻辑:Tomcat 自带一个管理后台(
/manager/html),如果管理员使用了默认的用户名和密码(如tomcat/tomcat、admin/admin),攻击者就可以直接登录并部署恶意应用。- 操作:攻击者会利用这个庞大的 IP 列表,批量尝试弱口令登录,一旦成功,就能完全控制服务器。
漏洞利用
- 逻辑:Tomcat 历史上存在多个高危漏洞,如 CVE-2017-12615(PUT 方法上传 Webshell)、CVE-2020-1938(Ghostcat 文件包含漏洞)等。
- 操作:攻击者会根据 Tomcat 的版本号,针对性地利用这些漏洞,获取服务器权限或读取敏感文件。
信息泄露
- 逻辑:Tomcat 的默认配置可能会泄露版本信息、目录结构等。
- 操作:攻击者可以通过访问默认页面或错误页面,获取服务器的详细信息,为后续攻击做准备。
防御建议
及时更新版本
- 确保 Tomcat 版本是最新的,以修复已知的安全漏洞。
修改默认配置
- 修改默认的管理员用户名和密码,禁用不必要的管理功能。
- 关闭或限制对
/manager/html等敏感路径的访问。配置防火墙
- 限制对 Tomcat 服务的访问,只允许可信的 IP 地址访问。
监控与审计
- 定期监控 Tomcat 的日志,及时发现异常访问和攻击行为。
总结
这张截图揭示了全球范围内大量使用 Apache Tomcat 的设备,这些信息对于攻击者来说是巨大的潜在攻击面,而对于防御者来说则是需要重点保护的资产。
知道这些信息能干什么
搜索
app="Apache-Tomcat"找到的这 180 多万个独立 IP,相当于把全球互联网上所有运行 Java Web 应用的“后台容器”都列了出来。对于攻击者来说,Tomcat 是极其诱人的目标,因为它不仅承载着大量企业核心业务(如银行、政府、大型系统的后台),而且历史上存在过多个“一键 Getshell”的高危漏洞。
掌握这些信息,具体可以用于以下用途:
⚔️ 攻击者视角(高危漏洞与后台控制)
攻击者拿到这份列表,通常会进行“地毯式”的自动化攻击,重点在于直接获取服务器权限:
利用“Ghostcat”漏洞(CVE-2020-1938)
- 原理:这是 Tomcat 历史上最著名的漏洞之一(AJP 文件包含漏洞)。如果目标 Tomcat 开启了 AJP 协议(默认端口 8009)且版本过低,攻击者无需账号密码,直接利用脚本即可读取服务器上的任意文件(如
web.xml、.java源码),甚至上传恶意文件导致远程代码执行。- 用途:攻击者会对这 180 万个 IP 批量探测 8009 端口,一旦命中,直接接管服务器。
Tomcat 后台弱口令爆破
- 原理:Tomcat 自带一个管理后台(Manager App),用于部署和卸载应用。很多管理员在安装后没有修改默认密码,或者使用了
admin/admin、tomcat/tomcat等弱口令。- 用途:攻击者利用这份 IP 列表,配合强大的密码字典,对这些 IP 的
/manager/html路径进行暴力破解。一旦破解成功,攻击者可以直接上传一个.war包(Webshell),从而获得服务器的最高控制权。针对特定版本的反序列化攻击
- 原理:图片中显示的
8.5.40等旧版本,可能存在 Java 反序列化漏洞。- 用途:攻击者会筛选出版本号老旧的目标,发送恶意的序列化数据包,诱使服务器在反序列化过程中执行恶意代码。
寻找未授权的敏感接口
- 原理:很多开发人员会在 Tomcat 上部署测试应用或监控接口(如 Actuator),且未做权限验证。
- 用途:通过扫描这些 IP,寻找暴露在公网的数据库连接池监控、环境变量查看等接口,进而获取数据库密码或服务器敏感信息。
🛡️ 防御者/运维视角(资产梳理与合规)
对于企业安全团队,这些信息用于内部自查和供应链风险管理:
排查老旧版本
- 用途:企业可以通过 FOFA 搜索自己的公网 IP 段,查看是否有被遗忘的、运行着旧版本 Tomcat(如图片中的 8.5.40)的测试服务器,及时进行升级或打补丁。
收敛攻击面
- 用途:检查是否有不必要的 Tomcat 管理后台(Manager App)暴露在公网上。如果发现,应立即配置防火墙策略,仅允许内网访问。
资产测绘
- 用途:大型企业往往不知道自己有多少个部门私自搭建了 Tomcat 服务(影子 IT)。通过搜索,安全团队可以发现这些未报备的资产,纳入统一监管。
🕵️ 商业情报视角
技术栈分析
- 用途:投资机构或竞争对手可以通过搜索特定公司的 IP 段,分析其技术架构是否基于 Java/Tomcat,从而推断其技术转型的方向或开发成本。
总结
搜索
app="Apache-Tomcat"的核心价值在于:它定位了互联网上最容易通过“弱口令”或“文件包含漏洞”直接获得服务器最高权限的一批目标。 对于黑客而言,这是一份高价值的“猎物名单”。
port
port:按端口号搜索。例如,port="3389"可以查找所有开放了远程桌面的机器。
port="3389"
分析
3389 是 Windows 系统远程桌面协议(RDP)的默认端口。这意味着搜索定位到了全球所有开启了远程桌面功能的 Windows 服务器或电脑。
以下是详细的分析:
搜索意图与结果概览
- 搜索语法:
port="3389"
- 这直接针对网络端口进行扫描。3389 端口开放意味着该设备允许通过网络进行图形化界面的远程控制。
- 匹配数量:11,536,910 条匹配结果,涉及 10,909,221 个独立 IP。
- 含义:这是一个非常惊人的数字,说明全球有超过一千万台设备直接将远程桌面暴露在公网上。这通常是由于企业远程办公需求、服务器管理便利性或用户配置不当造成的,构成了巨大的安全隐患。
具体目标分析(右侧列表)
图片右侧展示了两个具体的搜索结果,都是腾讯云的 Windows 服务器:
目标一:腾讯云上的 Windows 10 服务器
- IP地址:
43.138.213.13- 端口:
3389- 归属地:中国 / 广东省 / 广州
- 运营商:Shenzhen Tencent Computer Systems Company Limited(腾讯云)
- 操作系统:Windows 10 (版本 10.0.26100,这通常是 Windows 11 的内核版本号,但在 RDP 握手包中可能显示为 Win 10 架构)
- Banner 信息:
Remote Desktop Protocol:确认为远程桌面服务。Target_Name: 172.16.0_65:这是内网主机名,暴露了内网信息。- 分析:这是一个部署在腾讯云广州节点的云主机,运行着较新的 Windows 系统。直接暴露 3389 端口在公网是非常危险的,除非配置了网络级认证(NLA)和强密码,否则极易被攻击。
目标二:腾讯云在美国的 Windows Server 2019
- IP地址:
43.153.24.93- 端口:
3389- 归属地:美国 / 加利福尼亚 / 圣克拉拉(Silicon Valley area)
- 运营商:Tencent Building, Kejizhongyi Avenue(腾讯云海外节点)
- 操作系统:Windows Server 2019 (版本 10.0.17763)
- Banner 信息:
Target_Name: 10_0_0_12:同样暴露了内网主机名。- 分析:这是一个部署在腾讯云美国硅谷节点的服务器,主要用于企业级应用。
知道这些信息能干什么?
掌握这些开放 3389 端口的 IP 列表,对于不同角色的人来说,用途非常直接且关键:
攻击者视角(极其危险)
- 暴力破解(RDP Bruteforce):
- 这是最常见的攻击方式。攻击者使用工具(如 Hydra, Crowbar)对这 1100 万个 IP 进行用户名(如
Administrator)和密码的暴力猜解。一旦猜中,攻击者就能获得服务器的完整图形化控制权,相当于直接坐在电脑前操作。- 利用“蓝屏”漏洞(BlueKeep, CVE-2019-0708):
- 对于未打补丁的老旧 Windows 系统(如 Win7, Server 2008),攻击者可以利用 RDP 协议中的远程代码执行漏洞,无需密码直接控制服务器,甚至导致服务器蓝屏死机。
- 勒索病毒传播:
- 许多勒索病毒(如 SamSam, CrySIS)专门扫描 3389 端口。一旦入侵,它们会加密服务器上的所有数据,并勒索比特币。
- 作为“肉鸡”或跳板:
- 攻陷这些服务器后,攻击者会将其作为挖矿机(利用服务器的高性能 CPU/GPU),或者作为攻击其他目标的跳板,以隐藏自己的真实 IP。
防御者/运维视角(资产自查)
- 暴露面管理:
- 企业安全人员会搜索自己的 IP 段,检查是否有员工违规将内网服务器的 3389 端口直接映射到了公网。
- 配置审计:
- 检查暴露的 RDP 服务是否开启了网络级认证(NLA),是否使用了非标准端口(如将 3389 改为其他端口),以及是否使用了强密码。
总结
这张图展示的是互联网的“后门”集合。对于攻击者来说,这是一份“待宰羔羊”的名单;对于防御者来说,这是一份“高危风险”的清单。
逻辑运算符:你的“造句规则”
学会了单词,就要学会如何组合它们,让搜索更精确。
&&(与):必须同时满足。用于缩小范围。- 示例:
title="后台" && country="CN" - 含义:查找标题包含“后台”且位于中国的资产。
- 示例:
||(或):满足任一条件即可。用于扩大范围或搜索同义词。- 示例:
port="80" || port="443" - 含义:查找开放了 80 端口或 443 端口的资产。
- 示例:
!(非):排除条件。用于过滤掉不想要的结果。- 示例:
app="Apache" && !country="US" - 含义:查找使用 Apache 服务器但不在美国的资产。
- 示例:
实战演练:FOFA的三大核心应用场景
掌握了语法,我们来看看 FOFA 在真实世界中如何大显身手。
场景一:企业资产梳理,摸清自己的“家底”
对于企业安全团队来说,最大的风险往往来自于“未知的资产”。一个被遗忘的测试服务器、一个临时开放的端口,都可能成为攻击者的突破口。
FOFA 的“上帝视角”功能可以完美解决这个问题。你只需输入公司的主域名,例如 domain="company.com",FOFA 就能智能地关联出:
- 所有相关的子域名。
- 同一证书(
cert)下的其他资产。 - 同一 IP 段(
C段)或自治系统号(ASN)内的设备。
通过这种方式,企业可以在 5 分钟内完成过去需要数天的人工梳理工作,全面掌握自身的互联网暴露面,及时发现并修复安全隐患。
场景二:漏洞影响评估,当“新漏洞”爆发时
当一个像 Spring Framework RCE (CVE-2022-22965) 这样的严重漏洞被披露时,安全人员需要立刻知道它的影响范围。
使用 FOFA,你可以快速构建查询语句来定位潜在受影响的目标:
- 构建特征指纹:
header="Spring Framework" && (port=8080 || port=8443) - 筛选特定版本:
header="Spring Framework" && header~="5\.[0-2]\."
通过这样的组合查询,你可以在全球范围内快速找到所有使用了特定版本 Spring Framework 的服务器,为应急响应和漏洞修复争取宝贵时间。
场景三:威胁情报追踪,揪出幕后的“黑手”
安全研究员可以利用 FOFA 追踪黑客组织的基础设施。例如,通过分析某个恶意软件的通信特征(如特定的 HTTP 响应头、证书信息或访问路径),可以构建出独一无二的搜索语法。
假设我们发现某个 C2(命令与控制)服务器的响应头包含 Server: Microsoft-IIS 且返回 404 页面时有特定的 Content-Length,我们就可以用 FOFA 去寻找具有相同特征的其他服务器,从而挖掘出整个攻击基础设施的网络。
重要提醒:能力越大,责任越大
FOFA 是一个极其强大的工具,但它必须在法律和道德的框架内使用。
请务必遵守以下原则:
- 仅限授权操作:只能对你拥有明确授权的企业或个人资产进行探测和测试。
- 严禁非法入侵:绝对不要尝试访问、登录或攻击任何未经你许可的系统。搜索到他人的摄像头、数据库或后台系统,仅供了解风险,切勿窥探或操作。
- 遵守法律法规:任何未经授权的计算机入侵行为都是违法的,将承担相应的法律责任。
工具本身没有善恶,关键在于使用者。善用 FOFA,它能成为你守护网络安全的得力助手;滥用它,则可能让你走上违法的道路。请始终将你的技能用于正途。
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐
18
0- 0
已为社区贡献7条内容
所有评论(0)