CobaltStrike、社工库、后门...这些搜索语句你见过吗?

xiannv  1744天前

第三期“有趣的FOFA”活动结束了,接下来投票获奖结果公布,并为大家介绍本期中奖语法~

微信图片_20200313193914.png

接下来说一说这一期大家提交的一些有趣的搜索语法

1、首先是点赞投票最多的会员 evalos 提交的查询语法 header="HTTP/1.1 404 Not Found Content-Type: text/plain Date:"||protocol="cobaltstrike"||cert="Serial Number: 146473198"

这个语法可以识别cobalt strike服务器,cobalt strike C/S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是当前比较热门的一款C2软件,无论是红蓝对抗(HW),还是应急响应中,快速识别C2服务器是重要的工作之一,红队可以提前抹去特征,蓝队可以将此类服务器的IP作为IOC,并加入黑名单大礼包。

这里主要介绍以下三个特征: 第一个利用的是Cobalt Strike 3.13之前版本默认的空格后门特征,第二个是fofa自带的协议识别(推测是teamserver默认证书关键字),第三个是利用cobalt strike的web的默认证书特征 最近爆出的另外一个特征,如何确认web是否为Cobalt Strike,可以请求/manager/text/list/这个路径,如果可以下载到x86的payload,就是Cobalt Strike的服务器。

2、会员 1au 提交的查询语法 title=="社工库" || ((title="社工库" && title="系统") ||(title=="社工库查询" ))

这个语句可以搜索社工库,社工库是黑客与大数据方式进行结合的一种产物,黑客们将泄漏的用户数据整合分析,然后集中归档的一个地方,你懂得~

图片.png

图片.png

3、会员 Kiven提交的 body="asp;.jpg"

这个语句可以搜索带有“asp;.jpg”字样的页面,一般来说,这些文件都是通过批量上传的一句话后门,某些后门密码比较简单,并且密码都一样。这些服务器都有一定的漏洞,比如IIS上传等,并且以企业测试服务器居多,可能包含企业内部数据,并且可以成为跳板进入企业内部网络。

图片.png图片.png

4、会员 mark0smith 提交的查询语法 title="指挥" && title="登录"

这个语法查询的是各种各样的指挥系统,这也是公共资产,大家看看就好~

图片.png

5、会员 angel 提交的查询语法 title="GM管理后台" || title="传奇后台" || body="GM校验码"

这个语法可以查到很多游戏管理后台,GM管理后台是一个游戏管理后台,包括权限管理,支付系统,兑换系统,邮件发送,信息推送,游戏数据统计等模块,喜欢玩游戏的朋友们~(滑稽)

图片.png

没中奖的语句也都很有趣,下周继续为大家讲解~

关注“白帽汇”公众号,定期举行“有趣的FOFA”活动与其他漏洞奖励活动,向我们提交FOFA搜索语句就有机会领取丰厚奖品哦~

图片.png

本文由白帽汇原创,转载请注明来源:https://nosec.org/home/detail/4322.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务

最新评论

NBA联盟第一人詹姆斯  :  太强了
1739天前 回复
昵称
邮箱
提交评论