有趣的FOFA |第三期

请选出你认为最有趣的FOFA语句：

header="HTTP/1.1 404 Not Found Content-Type: text/plain Date:"||protocol="cobaltstrike"||cert="Serial Number: 146473198"

识别cobalt strike服务器，cobalt strike C/S架构的商业渗透软件，适合多人进行团队协作，可模拟APT做模拟对抗，进行内网渗透，是当前比较热门的一款C2软件，无论是红蓝对抗(HW)，还是应急响应中，快速识别C2服务器是重要的工作之一，它还有几个特征，选我就告诉你！

title=="社工库" || ((title="社工库" && title="系统") ||(title=="社工库查询" ))

社工库

title="X-Ray Report" || body="Powered by xray"

xray扫描结果

body="SSPanel-Uim"

ss机场框架

body="UA-111801619-3"

各种机场登录注册

title="Site not found · GitHub Pages" && server=="cloudflare"

GitHub域名接管

body="img/mhn_logo.png" && body="world-map"

查看看别人家搭建的蜜罐捕获攻击情况，红色的为攻击者，黄色的为蜜罐部署位置，看看哪个国家的肉鸡多~

body="x.aspx" && body="asp"

这是一个批量上传的webshell，使用密码“r00ts”即可登录，这些目录中还会包含大量的批量上传的木马文件，可供大家进行研究分析。

title="webcam 7"&&body="Live View"

未授权的摄像头

body="网站管理员登陆" && port="8090"

该后台为逆苍穹游戏私服运营管理后台，如果存在/action/api_show.php该文件则密码为value的一句话木马后门。

title="Index of" && body="rar"

此语句搜索源代码等文件，可以修改rar部分，搜索自己需要的内容，也可根据文件类型进行筛选。

title="GM管理后台" title="传奇后台" body="GM校验码"

私服GM管理后台一般都有默认密码，数据库弱口令，或者后门，注入

app="Canon-网络摄像头"

body="asp;.jpg"

批量上传的一句话后门，某些后门密码比较简单，并且密码都一样。这些服务器都有一定的漏洞，比如IIS上传等，并且以企业测试服务器居多，可能包含企业内部数据，并且可以成为跳板进入企业内部网络。

body="<a href= "/staff\">STAFF</a >" && body="<a href=\"/tos\">"

机场【科学上网】

title="vulscan"

vulscan 扫描框架

title="指挥" && title="登录"

各种指挥系统的登录后台

body="admin" && body="123456" && title="登录"

能搜到很多html中明文显示的用户名密码的

body=“intitle:"index of" squirrelmail/”

搜索邮件配置文件

(body="password.txt" || body="密码.txt") && title="index of"

密码文件

body="选择区服" && body="充值" && body="后台"