渗透测试——获取系统FOFA关键字来刷洞
作者:互联网
如何获取FOFA语法关键字
有时候新爆出来的漏洞,想拿poc去刷一波,但是却不知道怎么用fofa去搜索
H3C为例
存在漏洞的页面是这样的,我们发现无法右键查看源码(也可以F12),
所以这个时候我们可以根据一些页面上存在的特征去找关键字。
根据url里的关键字进行搜索:
例如上图url中存在/imc/login.jsf,
这个路径可能就是这个产品所特有的路径,
我们可以直接把路径复制了粘贴在fofa中搜索(不是特别精准):
根据网站关键字搜索:
fofa是支持搜索网站body的,这就说明我们可以根据网站上一些特定的关键字去搜索,
例如上图的iMC来宾接入自助管理系统和产品注册,
这两个关键字可能是h3c特有的关键字,且关键字在html的body标签:
根据相关背景或者logo搜索:
一般这样的系统,某些logo文件都存放在了特定的路径里,
我们可以找到这个图片的路径,然后根据特定的这个图片路径来进行搜索:
发现这两个东西都是logo,而且logo的路径一般特定的系统都不会变,
我们可以把这个路径复制到fofa进行搜索
当然,还有很多其他的方法来获取一个系统的某些特定FOFA语法。
例如利用ico hash等
QQ 1274510382
Wechat JNZ_aming
商业联盟 QQ群538250800
技术搞事 QQ群599020441
解决方案 QQ群152889761
加入我们 QQ群649347320
共享学习 QQ群674240731
纪年科技aming
网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。
叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司
民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/
安全项目:态势感知防御系统/内网巡查系统
云服项目:动态扩容云主机/域名/弹性存储-数据库-云盘/API-AIeverthing
产品咨询/服务售后(同)
纸上得来终觉浅,绝知此事要躬行 !!!
寻找志同道合伙伴创业中。。。抱团滴滴aming联系方式!!
#本文为广告系统自动投放广告
# 如有侵权 删改 请速速联系我们
外包接单 程序代写
QQ群 : 678653112
手机淘宝 扫描 淘宝店铺 :
标签:QQ,fofa,路径,关键字,搜索,来刷洞,FOFA,logo 来源: https://blog.csdn.net/qq_33608000/article/details/117047385