前言
逛论坛恰好看到一篇文章在写如何使用python进行fofa查询的,写这么简单的东西还需要用python吗?撸起袖子,干起易语言。
网页搜索
app="Apache-Shiro"
注意看查询的链接:
Fofa的查询的语句经过base64编码拼接在后面
https://fofa.so/result?qbase64=YXBwPSJBcGFjaGUtU2hpcm8i
我们简单看一下,fofa的api规则:
https://fofa.so/api/v1/search/all?email=${FOFA_EMAIL}&key=${FOFA_KEY}&qbase64={}
通过fofa给的api接口,我们填入email和key,再将我们要查询的内容经过base64加密后访问,就可以得到我们想要的结果。 我们使用 易语言提供的 精易编程助手,打开网页调试 发送一下请求。随即看到响应包出现了我们需要的内容。
我们将生成易代码 复制粘贴到易语言里面进行调试。
这种结果不利于我们批量验证漏洞,所以我们还要对结果进行提纯。提取我们想要的部分。根据返回的参数特征,我们可以写出IP+端口号的正则表达式。测试并生成代码。
生成代码后,我们将生成的IP提纯源码,与之前生成的源码进行对接。也就是将上一步程序的结果,作为这一步程序执行的数据源。(你可以理解为,把上一步得到的结果放在一个文本里面,在用生成好的正则表达式源码对这个文本进行提纯)
运行效果:
接下来就可以通过一些poc对这些网站进行测试啦。文章主要讲述,功能的实现方式,至于美化什么的,不用在意。
