今天在t00ls上看到有人公開了一個用go寫的工具
https://www.t00ls.net/thread-61604-1-1.html
抓包查看
我這里使用proxifier全局抓包看看
1.設置代理
2.設置rule
3.執行抓包
./goon_amd64_mac -mode fofascan -key port="8081" -num=-1
4.查看結果
burp這里得到了每次的請求
GET /api/v1/search/all?email=netwarks@163.com&key=5fa038d92881a30c1dd7ef01722c05f5&qbase64=cG9ydD04MDgxICYmIGJlZm9yZT0yMDIxLTA2LTI5ICYmIGFmdGVyPTIwMjAtMDYtMzA=&size=10000&fields=ip,host,title HTTP/2
Host: fofa.so
Accept-Encoding: gzip, deflate
User-Agent: Go-http-client/2.0
Connection: close
包文分析
我們把參數qbase64解碼看看
port=8081 && before=2021-06-29 && after=2020-06-30
port=8081 && before=2021-06-29 && after=2021-06-28
通過設置不同的查詢語句,來獲取結果,結果中會存在重復的數據。
結果分析
我嘗試使用高級會員賬號進行查詢
./goon_amd64_mac -mode fofascan -key port="7001" -num=-1
得到了123W條數據
在sublime中,使用正則截取每行出現的第一個ip
\d*\.\d*\.\d*\d\.\d*\:\d*
符合 ip:port格式的是 122W條數據
再通過去重得到result
在sublime中排序
edit - sort lines
查找目標為
^(.+)$[\r\n](^\1$[\r\n]{0, 1})+
替換為
\1\n
最后得到了70W個結果
修復方式:
限制每個賬號每小時對fofa服務器請求次數。(多個賬號進行繞過)
限制同一個IP對fofa服務器請求次數。 (代理池繞過)
取消普通會員及高級會員賬號的before、after的條件查詢