CobaltStrike、社工库、后门...这些搜索语句你见过吗？

第三期“有趣的FOFA”活动结束了，接下来投票获奖结果公布，并为大家介绍本期中奖语法~

接下来说一说这一期大家提交的一些有趣的搜索语法

1、首先是点赞投票最多的会员 evalos 提交的查询语法 header="HTTP/1.1 404 Not Found Content-Type: text/plain Date:"||protocol="cobaltstrike"||cert="Serial Number: 146473198"

这个语法可以识别cobalt strike服务器，cobalt strike C/S架构的商业渗透软件，适合多人进行团队协作，可模拟APT做模拟对抗，进行内网渗透，是当前比较热门的一款C2软件，无论是红蓝对抗(HW)，还是应急响应中，快速识别C2服务器是重要的工作之一，红队可以提前抹去特征，蓝队可以将此类服务器的IP作为IOC，并加入黑名单大礼包。

这里主要介绍以下三个特征： 第一个利用的是Cobalt Strike 3.13之前版本默认的空格后门特征，第二个是fofa自带的协议识别（推测是teamserver默认证书关键字），第三个是利用cobalt strike的web的默认证书特征 最近爆出的另外一个特征，如何确认web是否为Cobalt Strike，可以请求/manager/text/list/这个路径，如果可以下载到x86的payload，就是Cobalt Strike的服务器。

2、会员 1au 提交的查询语法 title=="社工库" || ((title="社工库" && title="系统") ||(title=="社工库查询" ))

这个语句可以搜索社工库，社工库是黑客与大数据方式进行结合的一种产物，黑客们将泄漏的用户数据整合分析，然后集中归档的一个地方，你懂得~

3、会员 Kiven提交的 body="asp;.jpg"

这个语句可以搜索带有“asp;.jpg”字样的页面，一般来说，这些文件都是通过批量上传的一句话后门，某些后门密码比较简单，并且密码都一样。这些服务器都有一定的漏洞，比如IIS上传等，并且以企业测试服务器居多，可能包含企业内部数据，并且可以成为跳板进入企业内部网络。

4、会员 mark0smith 提交的查询语法 title="指挥" && title="登录"

这个语法查询的是各种各样的指挥系统，这也是公共资产，大家看看就好~

5、会员 angel 提交的查询语法 title="GM管理后台" || title="传奇后台" || body="GM校验码"

这个语法可以查到很多游戏管理后台，GM管理后台是一个游戏管理后台，包括权限管理，支付系统，兑换系统，邮件发送，信息推送，游戏数据统计等模块，喜欢玩游戏的朋友们~（滑稽）

没中奖的语句也都很有趣，下周继续为大家讲解~

关注“白帽汇”公众号，定期举行“有趣的FOFA”活动与其他漏洞奖励活动，向我们提交FOFA搜索语句就有机会领取丰厚奖品哦~

本文由白帽汇原创，转载请注明来源：https://nosec.org/home/detail/4322.html

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务