Fofa绕过查询限制分析

1.设置代理

2.设置rule

3.执行抓包

./goon_amd64_mac -mode fofascan -key port="8081" -num=-1

4.查看结果

burp这里得到了每次的请求

GET /api/v1/search/all?email=@163.com&key=a30c1dd7ef01722c05f5&qbase64=cG9ydD04MDgxICYmIGJlZm9yZT0yMDIxLTA2LTI5ICYmIGFmdGVyPTIwMjAtMDYtMzA=&size=10000&fields=ip,host,title HTTP/2
Host: fofa.so
Accept-Encoding: gzip, deflate
User-Agent: Go-http-client/2.0
Connection: close

包文分析

我们把参数qbase64解码看看

port=8081 && before=2021-06-29 && after=2020-06-30

port=8081 && before=2021-06-29 && after=2021-06-28

通过设置不同的查询语句，来获取结果，结果中会存在重复的数据。

结果分析

我尝试使用高级会员账号进行查询

./goon_amd64_mac -mode fofascan -key port="7001" -num=-1

得到了123W条数据

在sublime中，使用正则截取每行出现的第一个ip

\d*\.\d*\.\d*\d\.\d*\:\d*

符合 ip:port格式的是 122W条数据

再通过去重得到result在sublime中排序edit - sort lines

查找目标为

^(.+)$[\r](^\1$[\r]{0, 1})+

替换为

\1

最后得到了70W个结果

由于没有对结果进行处理，所以结果中存在大量重复ip，不过通过时间条件来扩大查询结果，这操作还是骚的。