攻防演练模式下的信息收集--Fofa工程师

gclome

原文链接：攻防演练模式下的信息收集--Fofa工程师

在大型攻防演练期间，大家可以看到很多人都自称是Fofa工程师，那么到底什么是Fofa工程师呢？Fofa工程师只需要Fofa.so就可以了吗？Fofa工程师又需要哪些技能呢？


一、什么是Fofa工程师？
大家都知道在渗透测试的时候需要对目标进行信息收集，在攻防演练时我们更多的称之为外围打点，即需要发现能够获取权限的漏洞，利用从而进入目标内网。大多数情况下，利用漏洞其实大家已经不成问题了，更多的场景是找不到这个入口点，而其它队伍能发现它，所以人家进了内网，疯狂刷弱口令，刷了几千上万分，而你还在外网收集信息。

在攻防演练期间，越来越多的攻击队选择Fofa.so进行信息收集，基本上抛开邮件钓鱼，基本上90%的项目中，口子是通过fofa.so发现的，所以很大家都会戏称为Fofa工程师。

二、Fofa工程师只需要 Fofa.so就可以了吗？
答案当然是不对的。在外围打点时，Fofa.so只是一个网络空间搜索引擎，它跟百度一样，即然是搜索引擎，除了拥有自己的搜索语法外，还必须要有关键词，而发现关键词这一步骤就需要你结合其它方式完成。

三、Fofa工程师需要哪些技能呢？

这才是本文需要重点讲述的内容，所谓Fofa工程师需要哪些技能，其实真正意义上就是外围打点时怎样才能快速发现突破口，顺利进入内网的问题。

首先引入一篇前段时间别人写的文章：https://4m.cn/g3X3A
这篇文章选取了几个fofa.so的基本语法开始讲解，大家可以参考着看一下，fofa.so的基本语法不是本文重点，大家也可以参考官方提示：https://fofa.so/help

3.1 可自动化的信息收集
应该很多团队都会在开源的工具进行二次开源，以达到更适合自己操作的目的，这里推荐几个工具，大家可以在这些工具的基础上进行修改，当然不改也是可以的，工具本身已经非常好用了。

l Oneforall
l Teemo
l subDomainsBrute

上面三款工具基本上已经满足了搜集二级域名的所有需求，包括枚举、证书、DNS、威胁情报、搜索引擎等多个维度获取信息。
当然你还可以在Google中使用site:10086.cn -www依次减去所有查询出来的二级域名。

3.2 移动端资产收集

微信公众号和小程序还是用手机微信搜索 比较方便，当然也可以通过搜狗来发现目标大概有哪些公众号，但是最终还是得用手机测试抓包(PS:现在PC端微信抓包也很方便啦)

​

比如你可以发现中国移动在微信公众号上可能存在的弱点：

​
​
​
当然上面的也不一定就有漏洞，只是说可以通过名称感觉有就可以优先测试。

除了微信公众号外，也可以在App Store中通过反查开发者来尽可能多的收集目标的移动端资产。
​
​


3.3 组织架构查询

常见的查询网站有企查查、天眼查

​

以中国移动为例，可以通过天眼查发现有多个主体名称，在股权透视图中也可以看到中国移动对外投资了哪些企业，很多企业都是中国移动直管公司，或者是子公司。

​

在搜索时可以将搜索结果导出，每个帐号每天有十次白嫖的机会

​

如下图所示，这样顺便就收集了一下目标的邮箱，可针对这些邮箱发送钓鱼邮件了。

​

3.4 目标官网公示组织架构

基本上国企央企的集团总公司官网都会组织架构一栏，或者翻阅官方公示，以中国移动为例，在官网公示中可以看到中国移动的组织架构（http://www.10086.cn/download/csr ... _report_full_cn.pdf）

​
3.5 历史漏洞

通过搜索wooyun漏洞库，可以查找到目标历史系统的IP，如果有漏洞的系统不复存在，可以查看一下IP地址，甚至是所属C段，或者当年提漏洞的白帽子没有想到在若干年后他提的漏洞会对目标带来二次伤害，比如wooyun-2016-0215025 你就可以看到大量帐号密码。只要你有耐心，类似的漏洞报告还有很多。

3.6 代码泄露

在代码共享平台上时常有代码泄漏，并且代码中时常包含服务器、数据库的地址帐号密码等敏感信息。

在对目标网站测试时，经常会看到网站报错，从错误提示的包名中可以看到这是哪家公司开发的代码，然后再对应包名去github/gitee上搜索有没有这家公司的开发、运维人员存在信息泄漏。

当然也会有些目标企业有自己的IT团队，所以在github/gitee搜索目标名字有时也是有收获的。
下面截几张常见的外包代码包名
​
​
​
只要耐心翻，总能有意外收获

3.7 网盘搜集
网盘搜索对普通企业，高校等目标发现敏感信息的可能更大一些，下面列几个查询网站

l http://wp.soshoulu.com/

常用关键字：奖学金、名单等等，现在百度网盘对数据泄漏的防护越来越好了，不能像以前一样随便一搜就能有很多数据了。

3.8 社交平台3.8.1 QQ群

在QQ群中搜索目标关键字，加群即可，然后根据群内聊天内容，适当调整木马名称上传至群共享，上线率极高。

3.8.2 贴吧
搜索公司名，重点关注关键字，如学校目标就在贴吧内搜索学号等

3.8.3 脉脉l
网页版直接搜索xxx公司，然后查看人脉即可获取员工基本信息（可能需要会员）
l 移动版直接在首页搜索xxx公司，然后点击查看全部员工（需要会员）
l 移动版搜索公司名称时会弹出该公司的相关内容，可能会出现子公司名称，可以记录一下

3.8.4 知乎
搜索公司名称（包括子公司等）关键字（如密码，vpn等），可能可以找到内部员工使用的应用系统、APP等，再找找可能可以找到系统截图等

四、再分享几个经验
1. 中国铁路总公司、中国中铁、中国铁建的关系
中国铁路总公司，现改名中国国家铁路集团有限公司，主要业务为铁路客货运输，上级单位是国务院。
中国中铁，全名为中国铁路工程集团有限公司，主要业务为基建建设等，前身是铁道部工程总局和设计总局，上级单位是国资委。
中国铁建，全名为中国铁建股份有限公司，前身为铁道兵，上级单位是国资委。
特别注意的是，中铁一局到中铁十局属于中国中铁，中铁十一局到中铁二十五局属于中国铁建，12306属于铁总。
在使用fofa搜索的时候，别一开始就搞错方向了。

2. XX协会与X部委(局、署)大概率没有关系

通常情况下XX协会为民间组织，哪怕X部委(局、署)官网存在友情链接，并不是说XX协会属于X部委(局、署)，而是X部委(局、署)的主任或者啥领导在XX协会挂名而已。
举几个例子：
中国铁道学会与中国铁建
中国税务学会与国家税务总局
中国会计学会与财政部
……

3. 快速找到目标弱点资产
3.1 有0day的情况下
以通达OA漏洞为例，app="TDXK-通达OA" 大部分的通达OA系统的title都为“网络智能办公系统”或者“Office Anywhere 2013 网络智能办公系统”，所以需要你提前锁定目标大概的IP段
​
app="TDXK-通达OA" && title="部"
​
有0day的话，当然是快速找到0day针对的资产了，当然实战中并不会这么顺利，往往是你发现的资产你没有0day，你有0day能打的目标并没有分给你。

3.2 Shiro No.1
今年各家队伍使用最多的漏洞，应该非shiro莫属了。Fofa关键词app="Shiro权限管理系统"在实战中基本是无效的，所以还是需要你通过指定IP段或者指定title+protocol=”http”这样的方式，搜索到WEB系统后打开网页抓包测试。有些网站本身的Cookie中是不带有remerberMe的，手动加上后，返回包中包含deleteMe即为使用了shiro，这时可以用工具一把梭了。

3.3 弱点系统突破
在攻防的时候，比的就是谁能发现弱点资产快，其实也是比三大块：

l 0day利用
l 1day利用
l 常见WEB漏洞

所以一开始先搜自己0day能打的系统，找不到后，再找1day能打的系统，比如：shiro、struts2、weblogic、用友NC、fastjson、oa/email/vpn等，都找不到后，就刚正面，普通用户弱口令然后就找越权漏洞，部委的系统都是影响上亿人的，

3.4 关于fofa API
l 新版fofa支持上传ico，通过hash搜索，可以尝试一下
l 如果是省级赛事，可以用region=”guangxi”限定范围，如果是市级，可以用city=”chengdu”限定范围，有时候除了限定当地市，还需要查找一下省会。
l 上面这条对浙江的目标基本无效，阿里云上有太多外地目标，需要手工一一排查

4. 分享一下攻防演练让我知道的知识


①　新疆地区除了新疆外，还有个新疆生产建设兵团
​
①　中国现有15座副省级市：广州、武汉、哈尔滨、沈阳、成都、南京、西安、长春、济南、杭州、大连、青岛、深圳、厦门、宁波。其中深圳、大连、青岛、宁波、厦门是计划单列市，其它都是省会城市。
​
​
​
上图可以看到山东税务局没有青岛，浙江税务局没有宁波，广东税务局没有深圳。其它的省级政府机关都是包含副省级市的，不知道为什么就税务局不包含。