信息收集-资产测绘篇

这些平台都是网络空间搜索引擎，用于发现和收集互联网上的资产信息。下面是每个平台的常用命令查询方式：

1. Fofa

Fofa 是一个强大的网络空间搜索引擎，支持多种查询语法。

常用命令查询方式：

基本查询：

title="关键词"：搜索标题中包含指定关键词的页面。
body="关键词"：搜索页面内容中包含指定关键词的页面。
domain="example.com"：搜索指定域名下的所有结果。
ip="192.168.1.1"：搜索指定IP地址的所有结果。
port=80：搜索开放指定端口的所有结果。
protocol="http"：搜索使用指定协议的所有结果。
高级查询：

app="WordPress"：搜索使用指定应用程序的所有结果。
country="US"：搜索位于指定国家的所有结果。
after="2023-01-01" 和 before="2023-01-31"：搜索在指定时间范围内的结果。
cert="example.com"：搜索证书中包含指定域名的结果。
banner="Apache"：搜索响应头中包含指定字符串的结果。

2. 零零信安

零零信安是一个专注于网络安全威胁情报和资产测绘的平台。

常用命令查询方式：

基本查询：

host:example.com：搜索指定主机的所有结果。
ip:192.168.1.1：搜索指定IP地址的所有结果。
port:80：搜索开放指定端口的所有结果。
title:关键词：搜索标题中包含指定关键词的页面。
body:关键词：搜索页面内容中包含指定关键词的页面。
高级查询：

app:WordPress：搜索使用指定应用程序的所有结果。
os:Windows：搜索运行指定操作系统的设备。
country:US：搜索位于指定国家的所有结果。
cert:example.com：搜索证书中包含指定域名的结果。
banner:Apache：搜索响应头中包含指定字符串的结果。

3. 鹰图

鹰图（EagleEye）是一个网络安全资产测绘平台。

常用命令查询方式：

基本查询：

host:example.com：搜索指定主机的所有结果。
ip:192.168.1.1：搜索指定IP地址的所有结果。
port:80：搜索开放指定端口的所有结果。
title:关键词：搜索标题中包含指定关键词的页面。
body:关键词：搜索页面内容中包含指定关键词的页面。
高级查询：

app:WordPress：搜索使用指定应用程序的所有结果。
os:Windows：搜索运行指定操作系统的设备。
country:US：搜索位于指定国家的所有结果。
cert:example.com：搜索证书中包含指定域名的结果。
banner:Apache：搜索响应头中包含指定字符串的结果。

4. Shodan

Shodan 是一个知名的物联网搜索引擎。

常用命令查询方式：

基本查询：

hostname:example.com：搜索指定主机名的所有结果。
ip:192.168.1.1：搜索指定IP地址的所有结果。
port:80：搜索开放指定端口的所有结果。
product:Apache：搜索使用指定产品的所有结果。
org:Google：搜索属于指定组织的所有结果。
高级查询：

net:192.168.1.0/24：搜索指定子网内的所有结果。
country:US：搜索位于指定国家的所有结果。
city:New York：搜索位于指定城市的所有结果。
os:Windows：搜索运行指定操作系统的设备。
has_screenshot:true：搜索有截图的所有结果。

5. Quake

Quake 是奇安信集团推出的一个网络空间测绘平台。

常用命令查询方式：

基本查询：

host:example.com：搜索指定主机的所有结果。
ip:192.168.1.1：搜索指定IP地址的所有结果。
port:80：搜索开放指定端口的所有结果。
title:关键词：搜索标题中包含指定关键词的页面。
body:关键词：搜索页面内容中包含指定关键词的页面。
高级查询：

app:WordPress：搜索使用指定应用程序的所有结果。
os:Windows：搜索运行指定操作系统的设备。
country:US：搜索位于指定国家的所有结果。
cert:example.com：搜索证书中包含指定域名的结果。
banner:Apache：搜索响应头中包含指定字符串的结果。

这些平台的查询语法有一定的相似性，但具体细节可能会有所不同。建议查阅各个平台的官方文档以获取更详细和最新的查询语法。

高级查询及联合查询

以下为网络空间测绘平台的高级查询及联合查询方法示例，涵盖复杂场景下的精准检索技巧：

一、FOFA 高级查询

1. 嵌套逻辑查询

( title="管理后台" && country="CN" ) || ( server=="nginx/1.20" && os=="CentOS" )

作用：检索国内所有标题含“管理后台”的资产，或使用Nginx 1.20+CentOS组合的服务器

2. 正则表达式匹配

domain~="web[0-9]{3}.example.com"  # 匹配web001至web999子域名
header~"Set-Cookie: PHPSESSID=.*admin=1"  # 匹配Cookie中包含管理员标识的PHP站点

3. SSL证书链关联

cert.subject="Tencent Technology" && cert.issuer="DigiCert"

场景：定位使用腾讯云服务且证书由DigiCert颁发的资产

二、零零信安 (0.zone) 联合查询

1.漏东状态+资产类型组合

app.type="Webcam" && vul.status="unpatched" && vul.cve_id="CVE-2023-XXXX"

输出：存在特定漏东未修复的网络摄像头设备

2. 资产归属关联

(org.name="中国银行" && ip.range="10.0.0.0/8") || (linked.domain="bank.com.cn" && service.port="8443")

用途：定位银行机构内网暴露的HTTPS服务

三、鹰图 (Hunter) 企业级联合查询

1. 行业+技术栈穿透

org.industry="education" && (web.component="ThinkPHP 5.0" || server=="Apache Tomcat/9.0.64")

目标：教育行业使用特定高危框架的网站

2. 备案信息关联

ICP.license="京ICP备12345678号" && (server=="Microsoft-IIS/10.0" || header="X-Powered-By: ASP.NET")

场景：通过备案号追溯微软技术栈资产

四、Shodan 协议级联合查询

1. 工业设备精准定位

product:"Siemens SIMATIC" port:102 country:DE -has_screenshot

说明：排除含截图的德国西门子工控设备（-表示排除）

2. 物联网设备批量发现

(html:"Hikvision" AND port:80) OR (http.title:"DVR Login" AND port:8000)

技巧：通过多特征组合提高摄像头设备识别率

五、Quake 威胁测绘联合查询

1.响应时间+漏东验证

service.service_name="redis" && response_time<50 && is_vulnerable=true

用途：快速定位低延迟且存在漏东的Redis服务

2. 时间窗口+地理位置

(before:"2024-03-01" && after:"2024-01-01") && geo.city="上海" && component.type="router"

分析：2024年第一季度上海地区的路由器设备变化

六、跨平台联合查询示例

1. FOFA+Shodan 验证暴露面

# FOFA首轮筛选
domain="*.gov.cn" && port="443" && cert.issuer="CFCA"

# Shodan二次验证
ssl:"CFCA" org:"Government" port:443

2.zone+Quake 漏东利用链

# 0.zone获取脆弱性资产
app.name="Apache Solr" && vul.cvss_score>=7.0

# Quake验证存活状态
service_name="solr" && is_vulnerable=true && last_seen>="2024-05-01"

高级技巧注意事项

性能优化：

优先使用精确字段（如ip=比title~快3倍）
时间范围限制缩小至3个月内避免超时

规避限制：

分模块多次查询替代大范围联合查询（如先查IP段再查端口）

敏感字段：

使用-has_screenshot(Shodan)或-is_vulnerable(Quake)排除敏感结果

高级和联合查询

高级查询和联合查询可以让你更精确地定位和筛选所需的信息。以下是一些高级查询和联合查询的方法示例，分别针对FOFA、零零信安、鹰图、Shodan和Quake平台。

1. FOFA (https://fofa.info)

高级查询

逻辑运算符：AND、OR、NOT
通配符：*（匹配任意字符）、?（匹配单个字符）
括号：用于分组

# 示例：查找标题包含“管理后台”且端口为80或443的网站
title="管理后台" AND (port="80" OR port="443")

# 示例：查找域名包含“example”且响应头中包含“nginx”的网站
domain="example" AND header="Server: nginx"

# 示例：查找IP段在192.168.1.0/24内且国家代码为CN的网站
ip="192.168.1.0/24" AND country="CN"

联合查询

多条件组合

# 示例：查找标题包含“登录页面”、端口为80且响应头中包含“Apache”的网站
title="登录页面" AND port="80" AND header="Server: Apache"

# 示例：查找域名包含“example”且IP不在192.168.1.0/24内的网站
domain="example" AND NOT ip="192.168.1.0/24"

2. 零零信安 (0.zone)

高级查询

逻辑运算符：AND、OR、NOT
通配符：*（匹配任意字符）、?（匹配单个字符）

# 示例：查找应用名称为“Apache”且操作系统版本为“Windows 10”的资产
app.name="Apache" AND os.version="Windows 10"

# 示例：查找地理位置在北京且服务组件类型为“PHP”的资产
location.province="北京" AND service.component="PHP"

# 示例：查找关联IP为192.168.1.1且未修复漏东的资产
linked.ip="192.168.1.1" AND vul.status="unpatched"

联合查询

多条件组合

# 示例：查找应用名称为“Apache”、操作系统版本为“Windows 10”且地理位置在北京的资产
app.name="Apache" AND os.version="Windows 10" AND location.province="北京"

# 示例：查找地理位置在北京且服务组件类型为“PHP”且未修复漏东的资产
location.province="北京" AND service.component="PHP" AND vul.status="unpatched"

3. 鹰图平台 (Hunter.io)

高级查询

逻辑运算符：AND、OR、NOT
通配符：*（匹配任意字符）、?（匹配单个字符）

# 示例：查找网页标题包含“登录页面”且运营商为中国电信的资产
web.title="登录页面" AND ip.isp="China Telecom"

# 示例：查找中间件版本为“Microsoft-IIS”且HTTP状态码为200的资产
server=="Microsoft-IIS" AND status_code="200"

# 示例：查找备案号为“京ICP备20230001号”且行业类型为金融的资产
ICP="京ICP备20230001号" AND org.industry="finance"

联合查询

多条件组合

# 示例：查找网页标题包含“登录页面”、运营商为中国电信且HTTP状态码为200的资产
web.title="登录页面" AND ip.isp="China Telecom" AND status_code="200"

# 示例：查找备案号为“京ICP备20230001号”且行业类型为金融且最近30天新增的资产
ICP="京ICP备20230001号" AND org.industry="finance" AND search_type="new"

4. Shodan (https://www.shodan.io)

高级查询

逻辑运算符：AND、OR、NOT
通配符：*（匹配任意字符）、?（匹配单个字符）

# 示例：查找主机名为“example.com”且产品名称为“Apache httpd”的资产
hostname:"example.com" AND product:"Apache httpd"

# 示例：查找IP段在192.168.1.0/24内且操作系统版本为“Linux 3.x”的资产
net:192.168.1.0/24 AND os:"Linux 3.x"

# 示例：查找HTML内容包含“admin”且加密算法特征为“AES”的资产
http.html:"admin" AND ssh.cipher.list:"AES"

联合查询

多条件组合

# 示例：查找主机名为“example.com”、产品名称为“Apache httpd”且操作系统版本为“Linux 3.x”的资产
hostname:"example.com" AND product:"Apache httpd" AND os:"Linux 3.x"

# 示例：查找IP段在192.168.1.0/24内且操作系统版本为“Linux 3.x”且HTML内容包含“admin”的资产
net:192.168.1.0/24 AND os:"Linux 3.x" AND http.html:"admin"

5. Quake (https://quake.360.cn)

高级查询

逻辑运算符：AND、OR、NOT
通配符：*（匹配任意字符）、?（匹配单个字符）

# 示例：查找服务名称为“mysql”且响应时间小于100毫秒的资产
service_name="mysql" AND response_time<100

# 示例：查找设备类型为“camera”且存在已知漏东的资产
component.type="camera" AND is_vulnerable=true

# 示例：查找地理位置在上海且自治系统编号为“AS4134”的资产
geo.city="上海" AND asn="AS4134"

联合查询

多条件组合

# 示例：查找服务名称为“mysql”、响应时间小于100毫秒且存在已知漏东的资产
service_name="mysql" AND response_time<100 AND is_vulnerable=true

# 示例：查找地理位置在上海、自治系统编号为“AS4134”且存在已知漏东的资产
geo.city="上海" AND asn="AS4134" AND is_vulnerable=true