Fofa绕过查询限制分析

今天在t00ls上看到有人公开了一个用go写的工具
https://www.t00ls.net/thread-61604-1-1.html

抓包查看

我这里使用proxifier全局抓包看看

1.设置代理

Fofa绕过查询限制分析

2.设置rule

Fofa绕过查询限制分析

3.执行抓包

./goon_amd64_mac -mode fofascan -key port="8081" -num=-1

Fofa绕过查询限制分析

4.查看结果

burp这里得到了每次的请求

GET /api/v1/search/all?email=netwarks@163.com&key=5fa038d92881a30c1dd7ef01722c05f5&qbase64=cG9ydD04MDgxICYmIGJlZm9yZT0yMDIxLTA2LTI5ICYmIGFmdGVyPTIwMjAtMDYtMzA=&size=10000&fields=ip,host,title HTTP/2
Host: fofa.so
Accept-Encoding: gzip, deflate
User-Agent: Go-http-client/2.0
Connection: close

包文分析

我们把参数qbase64解码看看
Fofa绕过查询限制分析

port=8081 && before=2021-06-29 && after=2020-06-30

Fofa绕过查询限制分析

port=8081 && before=2021-06-29 && after=2021-06-28

通过设置不同的查询语句,来获取结果,结果中会存在重复的数据。

结果分析

我尝试使用高级会员账号进行查询

./goon_amd64_mac -mode fofascan -key port="7001" -num=-1

得到了123W条数据
Fofa绕过查询限制分析

在sublime中,使用正则截取每行出现的第一个ip

\d*\.\d*\.\d*\d\.\d*\:\d*

符合 ip:port格式的是 122W条数据
Fofa绕过查询限制分析

再通过去重得到result
在sublime中排序
edit - sort lines
Fofa绕过查询限制分析

查找目标为

^(.+)$[\r\n](^\1$[\r\n]{0, 1})+

替换为

\1\n

Fofa绕过查询限制分析

最后得到了70W个结果
Fofa绕过查询限制分析

修复方式:

限制每个账号每小时对fofa服务器请求次数。(多个账号进行绕过)
限制同一个IP对fofa服务器请求次数。 (代理池绕过)
取消普通会员及高级会员账号的before、after的条件查询

Fofa绕过查询限制分析

上一篇:php手册总结(一)


下一篇:JS利用短路原理简写if语句