常用网络空间测绘引擎语法

免责声明
⚠特别说明：此教程为纯技术教学！严禁利用本教程所提到的漏洞和技术进行非法攻击，本教程的目的仅仅作为学习，决不是为那些怀有不良动机的人提供技术支持！也不承担因为技术被滥用所产生的连带责任！⚠

鹰图搜索引擎(Hunter)

地址：https://hunter.qianxin.com/?from=csdn

搜索语法：

web.title="北京" 从网站标题中搜索“北京”
web.body="网络空间测绘" 搜索网站正文包含”网络空间测绘“的资产
web.similar="baidu.com:443" 查询与baidu.com:443网站的特征相似的资产
web.icon="22eeab765346f14faf564a4709f98548" 查询网站icon（图标）与该icon相同的资产
web.tag="登录页面" 查询包含资产标签"登录页面"的资产
domain="qianxin.com" 搜索域名包含"qianxin.com"的网站
domain.suffix="qianxin.com" 搜索主域为"qianxin.com"的网站
header.server=="Microsoft-IIS/10"搜索server全名为“Microsoft-IIS/10”的服务器
app.name="小米 Router" 搜索标记为”小米 Router“的资产
app.vendor="PHP" 查询包含组件厂商为"PHP"的资产
app.version="1.8.1" 查询包含组件版本为"1.8.1"的资产

子域名搜集

最开始对平台比较陌生，使用了domain检索，发现了一堆不匹配的数据。后来发现domain只是模糊查找带有关键词的域名数据，子域名搜集需要使用domain_suffix语法。

输入语法

domain_suffix=baidu.com

查找主域为baidu.com的资产。

icon图标搜集

访问百度，输入https://www.baidu.com/favicon.ico

回到测绘平台，上传icon图标查找匹配的资产。别忘记加上domain_suffix=baidu.com，锁定目标范围。

ICP备案号搜集

ICP备案号可以算是网站的一个基础特征，传统方式是访问企查查等平台，通过企业名称查看ICP备案号。但测绘平台可以直接通过搜索ICP备案企业名称，来查看ICP备案号，这里还是比较惊喜的。

body=京ICP证030173号 && domain_suffix=baidu.com

快速打点薄弱资产环节

方法1 - 通过网站标题关键词

检索站点标题可以尝试带有“登录”、“管理”、“后台”、“中心”等关键词，这里我选择的是

domain_suffix="baidu.com" and title="登录" and title="管理"

方法2 - 直接输入关键词“Login”

在检索app时无意间发现如果直接输入Login，也可以推荐出对应的app

随机访问一个

（以下方法需要开通企业账户进行搜）

方法3 - 通过C段快速定位未授权端口

如：ip="14.215.177.1/24"&&port="6379"

（需要开通企业账号获取全端口权限）

方法4 - 通过指纹快速查找问题资产

在刷问题资产时，可以通过某款特定的CMS或指定的组件，结合检索来提高准确率。

例如：body="xxxxx(指纹信息)" and component_name="Apache Tomcat"

方法5 - 通过指纹扩大疑似存在问题的资产范围

最后，我们从疑似存在问题的目标资产中提取相应的指纹。例如js，css，组件关键词等信息进行查询，即可锁定多个疑似存在相同问题的系统。

列如：app="shiro" and body=xxxx

Quake搜索引擎

地址：https://quake.360.net

搜索语法：

domain:"360.cn" 网站域名信息
ip: "1.1.1.1/16" 支持检索单个IP、CIDR地址段、支持IPv6地址
port:"80"ports:"80,8080,8000" 单一端口、同时开放多端口
service:"http"services:"rtsp,https,telnet" 协议和服务
country、province、city 位置和属地
app:"Apache" 服务产品
app_version:"1.2.1" 产品版本
title:后台 网页标题
http_path:"/admin" http请求路径
host:"google.com" 请求host的值
body:"奇虎" 网页body内容
robots:"Discuz" robots.txt的内容

逻辑连接：与 AND

port:"80" AND app:" 群晖NAS"

查询开放80端口的"Synology NAS"应用资产

port:" 80" AND country:" 美国"

查询"U.S."所有开放80端口的资产

逻辑连接：或 OR

title:" 管理系统" OR body:" 登录页"

查询网页标题包含"management system"或网页正文包含"登录页"的网站

server:"Apache" OR server:"Nginx"

查询Apache 或 Nginx网站服务器

逻辑连接：非 NOT

title:"登录" AND(NOT title:"管理系统")

查询网页标题包含"login"但不包含"管理系统"的网站

cert:"奇虎" AND NOT domain：*.360.cn AND is_domain:true

查询非"360.cn"结尾的"Qihoo company"下的域名资产

搜索域名信息为百度的后台：

domain:"baidu"

搜索port为80，国家为中国的,管理系统或者登录界面

port:" 80" AND country:"中国" AND title:" 管理系统" OR body:" 登录页"

fofa搜索引擎

FoFa搜索引擎偏向资产搜索。

地址：https://fofa.info/

搜索语法：

title="abc" 从html标题中搜索abc。例：标题中有北京的网站。
header="abc" 从html http头中搜索abc。例：jboss服务器。
body="abc" 从html正文中搜索abc。例：正文包含Hacked by。
domain="qq.com" 搜索根域名带有qq.com的网站。例：根域名是qq.com的网站。
host=".gov.cn" 从url中搜索.gov.cn,注意搜索要用host作为名称。
port="443" 查找对应443端口的资产。例：查找对应443端口的资产。
ip="1.1.1.1" 从ip中搜索包含1.1.1.1的网站,注意搜索要用ip作为名称。
protocol="https" 搜索制定协议类型(在开启端口扫描的情况下有效)。例：查询https协议资产。
city="Beijing" 搜索指定城市的资产。例：搜索指定城市的资产。
region="Zhejiang" 搜索指定行政区的资产。例：搜索指定行政区的资产。
country="CN" 搜索指定国家(编码)的资产。例：搜索指定国家(编码)的资产。
cert="google.com" 搜索证书(https或者imaps等)中带有google.com的资产。
app="Microsoft-Exchange" 搜索含有Microsoft-Exchange组件的设备
fid="sSXXGNUO2FefBTcCLIT/2Q==" 查找相同的网站指纹
icp="京ICP证030173号" 查找备案号为“京ICP证030173号”的网站
js_name="js/jquery.js" 查找网站正文中包含js/jquery.js的资产
os="centos" 搜索CentOS资产
server=="Microsoft-IIS/10" 搜索IIS 10服务器
status_code="402" 查询服务器状态为“402”的资产

高级搜索

title="powered by" && title!=discuz
title!="powered by" && body=discuz

图标查询

icon_hash="图标路径"

搜索在北京资产

region="Zhejiang"

从url中搜索host为daoyuansec.com的资产,注意搜索要用host作为名称。

host="daoyuansec.com"

搜在北京的主域是sf-express.com的后台

domain="sf-express.com" && title="后台" && city="Beijing"

访问一下，后台地址

搜索中国或者美国地区使用了joomla并且只要域名和状态码为200的资产

app="Joomla" && is_domain=true && status_code=200 && (country="CN" || country="US")

其他的方法如此类推，不演示了。由此可见，fofa配合逻辑运算符才能体现它的强大之处。

(本人最常用的搜索引擎就是fofa了，fofa真的很强大)

钟馗之眼搜索引擎

钟馗之眼搜索引擎偏向web应用层面的搜索。

地址：https://www.zoomeye.org/

搜索语法：

app:nginx　　 组件名
ver:1.0　　 版本
os:windows　　 操作系统
country:"China"　　 国家
city:"hangzhou"　　 城市
port:80　　 端口
hostname:google　　 主机名
site:thief.one　　 网站域名
desc:nmask　　 描述
keywords:nmask’blog　　关键词
service:ftp　　 服务类型
ip:8.8.8.8 ip地址
cidr:8.8.8.8/24 ip地址段

逻辑运算

searchLogic	说明	示例
空格	在搜索框中输入“空格”则表示“或”的运算逻辑	service:"ssh" service:"http"搜索ssh或http协议的数据
+	在搜索框中输入“+”则表示“且”的运算逻辑	device:"router"+after:"2020-01-01"搜索2020-01-01后路由器的数据
-	在搜索框中输入“-”则表示“非”的运算逻辑	country:"CN"-subdivisions:"beijing"搜索中国地区内除北京的数据
( )	在搜索框中输入“()”则表示“优先处理”的运算逻辑	[(country:"CN" -port:80) (country:"US" -title:"404 Not Found")](https://www.zoomeye.org/searchResult?q=(country%3A)搜索中国排除port:80或美国排除"404 Not Found"的数据

搜索主机名是google的

hostname:google.com

搜索国家是中国，操作系统是windows的后台

country:"China"+os:windows+keywords:"后台"

Shodan搜素引擎

shodan网络搜索引擎偏向网络设备以及服务器的搜索，具体内容可上网查阅，这里给出它的高级搜索语法。

地址：https://www.shodan.io/

搜索语法：

hostname：搜索指定的主机或域名，例如 hostname:"google"
port：搜索指定的端口或服务，例如 port:"21"
country：搜索指定的国家，例如 country:"CN"
city：搜索指定的城市，例如 city:"Hefei"
org：搜索指定的组织或公司，例如 org:"google"
isp：搜索指定的ISP供应商，例如 isp:"China Telecom"
product：搜索指定的操作系统/软件/平台，例如product:"Apache httpd"
version：搜索指定的软件版本，例如 version:"1.6.2"
geo：搜索指定的地理位置，例如 geo:"31.8639, 117.2808"
before/after：搜索指定收录时间前后的数据，格式为dd-mm-yy，例如 before:"11-11-15"
net：搜索指定的IP地址或子网，例如 net:"210.45.240.0/24"

1.搜索成都开放8080端口的主机：

Apache city:"Chengdu" port:"8080"

2.IP为72.34.62.0——255的Linux主机 ：

os:"linux" net:"72.34.62.0/24"

3.搜索美国的网络摄像头：

netcam country:"US"

Censys搜索引擎

censys搜索引擎功能与shodan类似，以下几个文档信息。

地址：https://search.censys.io/

搜索语法：

默认情况下censys支持全文检索。
23.0.0.0/8 or 8.8.8.0/24　　 可以使用and or not
80.http.get.status_code: 200　　 指定状态
80.http.get.status_code:[200 TO 300] 200-300之间的状态码
location.country_code: DE　　 国家
protocols: ("23/telnet" or "21/ftp")　　协议
tags: scada　　 标签
80.http.get.headers.server：nginx　　 服务器类型版本
autonomous_system.description: University　　系统描述

搜索系统描述为University　的

autonomous_system.description: University

搜索服务器为http，500状态码的

services.http.response.status_code: 500