Xiecat & FOFA 活动投稿地址

[V4ni11a]

1.提交的内容：

• 你觉得有意思的、不限于红队或者安全的FOFA查询语法

2.提交模板：

rule_name: 规则名称 description: 规则描述 author: 作者 \<FOFA id> 可以不用填写邮箱 fofa_query: fofa语句

举例：

rule_name: jupyter 未授权 description: 可以未授权登录的 jupyter 设备 author: xiecat fofa_query: body="ipython-main-app" && title="Home Page - Select or create a notebook"

注意：需认真填写自己正确的FOFA账号ID，可在fofa.so官网个人中心页面查看，否则会影响奖项的发放

---

FOFA语法大比拼活动及奖品发放延期通知

诸位表哥/表姐好：

感谢大家参与我们的语法大比拼活动，目前我们已收到44条语法，最高个人贡献条数：8，其中一些未授权漏洞以及SRC挖洞搜索技巧的等查询方式让我们审核人员直呼“好家伙”“学到了”。因FOFA升级维护无法使用，为保证语法的有效性及活动的公平性，本次语法大比拼活动也顺应推迟，我们已记录并整理好收到的信息，已提交语法的表哥/表姐请放心～

转发中奖的表哥请微信联系XiecatBot，发送收奖地址，我们将在春节开工后寄出。（可在“活动抽奖”小程序查看自己是否中奖）

祝归途中的表哥/表姐一切顺利，虎年暴富！

---

[6xdd]

Xiecat & FOFA 活动投稿 rule_name: mongodb未授权 description: 搜索特定地区较新日期且存在未授权登录的mongoDB数据库 author: kaliu fofa_query: protocol="mongodb" && banner="connections" && country="CN" && region!="HK" && region!="TW" && region!="MO" && after="2021-10-01" && port="27017" && after="2021-12-01"

[6xdd]

rule_name: Docker未授权访问 description: 搜索特定地区特定时间段且存在Docker remote api 服务可以访问的资产 author: kaliu fofa_query: (banner="amd64" || banner="arm") && protocol="docker" && country="CN" && region!="HK" && region!="TW" && region!="MO" && (banner!="0520e24" && banner!="7f2769b") && after="2021-10-01"

[6xdd]

rule_name: Kibana未授权访问 description: 搜索特定地区特定时间段且存在Kibana未授权访问的资产(使用fid技巧快速过滤) author: kaliu fofa_query: app="Kibana" && (country="CN" && region!="HK" && region!="TW" && region!="MO") && ( && fid="Nf3ZQxw8seY0z959qyycPg==" || fid="zrK4+j5gM4KyfCeZaXC3qw==" || fid="ZgaoHIxkCIgUijf7r5DE3g==")

备注：搜索rabbitMQ默认guest用户登录，非常准确！！ (country="CN" && region!="HK" && region!="TW" && region!="MO") && title=="RabbitMQ Management"

[timer4835]

rule_name:百度部分资产搜索 description:用于寻找属于百度的网站 author:Fitar fofa_query:cert.is_valid=true && cert.subject="Beijing Baidu Netcom Science Technology Co., Ltd"

[6xdd]

rule_name: NFS未授权访问 description: 搜索特定地区特定时间段且存在NFS文件服务免认证访问资产(仅要ip数据) author: kaliu fofa_query: protocol="nfs" && (country="CN" && region!="HK" && region!="TW" && region!="MO") && banner="\x80\x00\x00\x18\x89\xd3\xd4" && after="2021-12-15" && is_domain=false 备注：通过查看banner，可以粗略的找到需要认证和不需要认证的区别，然后搜索可以未授权的资产

[6xdd]

rule_name: 搜索IPV6资产 description: 搜索某域名IPV6资产(排除干扰、蜜罐数据) author: kaliu fofa_query: is_ipv6=true && (domain="qq.com" || cert.subject="qq.com") && is_fraud=false && is_honeypot=false

搜索非教育网的IPV6资产信息(仅获取有域名信息的资产) is_ipv6=true && country="CN" && is_domain=true && region!="HK" && host!=".edu.cn"

[6xdd]

rule_name: JARM玩法 description: 结合着JARM指纹搜索CS远控服务器(默认cs服务的证书中有cobaltstrike字段) author: kaliu fofa_query: jarm="07d14d16d21d21d07c07d14d07d21d9b2f5869a6985368a9dec764186a9175" && protocol="cobaltstrike" && cert="cobaltstrike"

备注：高级玩家会修改服务默认的证书信息，JARM指纹不能作为精准识别的条件；CS指纹库参考https://github.com/360quake/CobaltStrike-JARM

[ox01024]

rule_name: 中控智慧指纹门禁考勤机 description: 一个有未授权漏洞的指纹打卡考勤机 author: Waffle fofa_query: server=="ZK Web Server" body=="/csl/check"

[ox01024]

rule_name: HTTP代理池 description: 未授权代理池
author: Waffle fofa_query: body="get all proxy from proxy pool" 项目地址 https://github.com/jhao104/proxy_pool

[ox01024]

rule_name: SSR机场 description: SSPanel-Uim 机场框架 author: Waffle fofa_query: body="/auth/register" && body="shadow-light rounded-circle"

[0xf4n9x]

rule_name: 无认证的Telnet登录 description: 未设置认证的Telnet远程登录，有一部分是蜜罐。 author: 0xf4n9x fofa_query: (banner="root@localhost" || banner="root@LocalHost")

[ox01024]

rule_name: docker-compose 泄漏 description: docker-compose生成的容器代码泄露 author: Waffle fofa_query: body="index of" && body="docker-compose"

[Pannet]

rule_name: Redis未授权精准查询 description: 搜索指定操作系统、指定版本的未授权Redis服务 author: Pannet fofa_query: protocol="redis" && banner="Windows" && banner="redis_version:6.0.5"

[For3stCo1d]

rule_name: etcd未授权 description: 用于搜索k8s etcd服务未授权访问 author: 林寒 fofa_query: port="2379" && banner="Name: controller"

[For3stCo1d]

rule_name: k8s未授权 description: 用于搜索k8s api Secure Port和 kubelet两个端口未授权访问 author: 林寒 fofa_query: app="kubernetes" && port="10250" || app="kubernetes" && port="6443" && status_code="200"

[For3stCo1d]

rule_name: Hadoop未授权 description: 用于搜索Hadoop集群未授权访问 author: 林寒 fofa_query: app="hadoop" && banner="/cluster"

[For3stCo1d]

rule_name: 防火墙密码泄露 description: 用于搜索存在防火墙硬编码导致密码泄露，可查看源码md5解密 author: 林寒 fofa_query: body="Get_Verify_Info(hex_md5(user_string)" && body="user_passwd" && body="dkey_check.php?dkey_random"

[V4ni11a]

rule_name: 各种信息泄露 description: 根据自己的需求用body组合搜索各种信息泄露 author: XieCat--Vanilla fofa_query: title="index of" && (body=".bash_history" || body=".pwd.db" || body=".sql" || body=".zip" || body=".ini")

注：该条不计入投票

[ox01024]

rule_name: 未授权FTP description: 可以匿名登陆的ftpServer author: Waffle fofa_query: banner="230 Login successful" && protocol="ftp"

[ox01024]

rule_name: 安卓调试桥 description: 暴露在公网中的安卓调试桥可能有部分蜜罐 author: Waffle fofa_query: port="5555" && protocol="android-debug-bridge"

[6xdd]

rule_name: 搜索rtsp摄像头及海康摄像头 description: 暴露在公网中摄像头设备 author: kaliu fofa_query: app="HIKVISION-视频监控"||(protocol="rtsp" && banner="200" && banner="Hipcam") ||"webcamXP"

[alberthao]

rule_name: log4j2 description: log4j2相关的靶场或测试网站 author: alberthao fofa_query: title="log4shell" || title="log4j2"

[alberthao]

rule_name: 红队靶场 description: 部分互联网可以访问的靶场（需要再筛选一下）。当然白帽汇的Vulfocus已基本够用了。 author: alberthao fofa_query: title="靶场"

[alberthao]

rule_name: 精品课 description: 大学提供的精品课，可以是网络安全或者其他你感兴趣的话题 author: alberthao fofa_query:title="精品课" 或者 title="精品课" && title="网络安全"

[alberthao]

rule_name: 互联网上的未授权打印机 description: 直接发布在公网上的部分打印机，可以根据自己的需要，再尝试查询其他类型打印机 author: alberthao fofa_query:title="DocuCentre"||title="hp laserjet"

[6xdd]

rule_name: 有趣的fofa语句 description: 这是官方出品的内容，非常喜欢(原谅我才发现) author: fofa官方 fofa_query: 简单的摘抄了几个比较眼前一新的语句(所有源文件在这石墨文档 https://shimo.im/sheets/QyP98JV86CKyhvXP/x98Ga)

1.蜜罐资产 (header="uc-httpd 1.0.0" && server="JBoss-5.0") || server="Apache,Tomcat,Jboss,weblogic,phpstudy,struts"

2.该语法可直接访问到任意使用python3.6.3、3.6.8、3.7.X搭建的简易服务器，然后可以直接访问甚至下载其服务器所有展示内容（毕设Demo、内部测试Demo、源码测试、电影图片XX、相册...）: (server="SimpleHTTP/0.6 Python/3.6.3" || server="SimpleHTTP/0.6 Python/3.6.8" || server="SimpleHTTP/0.6 Python/3.7.0" || server="SimpleHTTP/0.6 Python/3.7.1" || server="SimpleHTTP/0.6 Python/3.7.2" || server="SimpleHTTP/0.6 Python/3.7.3" || server="SimpleHTTP/0.6 Python/3.7.4" || server="SimpleHTTP/0.6 Python/3.7.5" || server="SimpleHTTP/0.6 Python/3.7.6") && title="Directory listing for"

3.获取免费的代理池: body="get all proxy from proxy pool"

原创不是我，我只是搬运工~

[alberthao]

rule_name: 被入侵的log4j2 hadoop description: 被入侵的log4j2 hadoop author: alberthao fofa_query: body="${jndi:ldap" && port="8088"或者title="all applications" && body="${jndi:ldap"

[6xdd]

rule_name: 搜索未授权登录jenkins description: 搜索未授权登录jenkins author: kaliu fofa_query: app="JENKINS" && title=="Dashboard [Jenkins]" && (country="CN" && region!="HK" && region!="TW" && region!="MO")

[alberthao]

rule_name: Apache Tomcat 精确搜索 description: Tomcat直接按照报错版本号来检索。 把版本号改为你需要的即可。基本上是按照报错信息搜索。但如果管理员伪装过报错，则还要结合其他指纹。 author: alberthao fofa_query: body="Apache Tomcat/8.5.14" 把版本号改为你需要的即可。

[alberthao]

rule_name: 寻找可能属于百度或其他某个目标的资产 description: 把下面的关键词换成其他你感兴趣的目标的中英文缩写，试一试。 author: alberthao fofa_query:cert.subject="baidu" || cert.subject="百度"

[Becivells]

FOFA语法大比拼活动及奖品发放延期通知

诸位表哥/表姐好：

感谢大家参与我们的语法大比拼活动，目前我们已收到44条语法，最高个人贡献条数：8，其中一些未授权漏洞以及SRC挖洞搜索技巧的等查询方式让我们审核人员直呼“好家伙”“学到了”。因FOFA升级维护无法使用，为保证语法的有效性及活动的公平性，本次语法大比拼活动也顺应推迟，我们已记录并整理好收到的信息，已提交语法的表哥/表姐请放心～

转发中奖的表哥请微信联系XiecatBot，发送收奖地址，我们将在春节开工后寄出。（可在“活动抽奖”小程序查看自己是否中奖）

祝归途中的表哥/表姐一切顺利，虎年暴富！

[Carochen13]

这是来自QQ邮箱的假期自动回复邮件。   您好，我最近正在休假中，无法亲自回复您的邮件。我将在假期结束后，尽快给您回复。