fofa_viewer
release 下载 · 反馈 Bug · 提交需求
Fofa Viewer 是一个用 JavaFX 编写的用户友好的 FOFA 客户端,属于 WgpSec 社区,主要由 f1ashine 维护。 利用强大的互联网搜索引擎 FoFa,将众多常用的 API 封装到简洁的 UI 中,让网络安全专业人士更容易在目标网站上寻找漏洞。 凭借其开箱即用的功能,Fofa Viewer 简化了搜索过程,帮助渗透测试人员快速获取所需信息。
使用说明
本工具基于 FoFa 的 API 进行封装,使用时需要高级会员或者普通会员的 API key,使用注册用户的 API key 会提示账户需要充值 F 币。
点击 https://github.com/wgpsec/fofa_viewer/releases 下载
- 如果你使用的是 JDK11 以及更高的 Java 版本,请选择不带版本号的 zip 包使用
- 如果你使用的是 JDK8 版本,请选择下载 FoFaViewer_JDK8
导出失败问题
JDK16+ 在导出 Excel 时会报错,可在命令行添加 JVM 参数 --illegal-access=permit
以导出。
JDK17+ --illegal-access=permit
参数被移除,可在命令后添加 JVM 参数--add-opens java.base/java.lang=ALL-UNNAMED
以导出。
java -jar --add-opens java.base/java.lang=ALL-UNNAMED fofaviewer.jar
下载后修改 config.properties
即可开始使用,api 参数默认为https://fofa.info
,若 fofa 官方更换域名可修改该参数后再使用。
Mac 用户可通过 自动化操作创建应用程序 建立快速启动 Fofa_Viewer 的快捷图标
若下载速度太慢可以使用
https://hub.fastgit.xyz/wgpsec/fofa_viewer (推荐)
https://gitee.com/wgpsec/fofa_viewer (镜像)
FOFA 会员说明链接!!!!!
VIP 说明:https://fofa.info/vip
:sparkles: 功能
- 多标签式查询结果展示
- 丰富的右键菜单
- 支持查询结果导出为 excel 文件
- 支持手动修改查询最大条数,方便非高级会员使用(修改
config.properties
中的maxSize
即可) - 支持证书转换 将证书序列填写入启动页框内可转换,再使用
cert="计算出来的值"
语法进行查询 具体例子 - 支持输入智能提示
- 支持 fofa 的一键排除干扰(蜜罐)功能。(注:需要高级会员,使用时会在 tab 页标记
(*)
) - 支持 Fid 查询(注:需要高级会员,查询时需要勾选)
- 支持 full 查询(查询全部数据)
- 显示 fofa 官网的查询语法
- 滚动条移动到末端时自动加载下一页,可在配置中设置否自动检查账号剩余可查询量。
Q&A
为什么查询显示结果超过了 10000 条,但是导出的数据不到 10000 条?
由于 fofa api 的限制,每个查询条件原高级会员最多免费导出 10000 条数据,所以超过 10000 条以后的数据导出需要花费 f 点,可尝试通过关键字after
和before
限制查询时间来获取数据。为什么界面显示和 excel 导出的数据比查询到的数据要少?
由于 fofa 查询到的 http 数据中有部分数据重复,为了二次扫描和查看方便,工具做了去重处理,具体分为以下四种情况:- 端口为 80:去掉协议头显示为 http 的数据
- 端口为 443:
- 非 80 端口的 http
- 非 443 端口的 https
- 端口为 80:去掉协议头显示为 http 的数据
为什么有的网站明明有 favicon 但是请求不到?
说一下浏览器获取 favicon 的流程:
① 先去 html 的 header 标签中提取<link rel=icon href=xx>
,然后加载 href 中的链接
② 如果没有 link 标签,浏览器会加载根目录的favicon.ico
,如果响应 404 就代表网站未提供 favicon
本工具使用的是jsoup
对网页进行解析,对于使用 Vue 一类构建的网站只能通过 chrome 进行 js 解析后获取 link 标签然后获取 favicon 地址,对于这种情况目前只能将 favicon 的链接粘贴到首页进行查询。IP 和端口两个一起排序?
先点击 IP 或者端口这一列的 header 进行排序,然后按住 shift 点击另一列就可以一起排序了。为什么显示“访问权限不足”?
product、lastupdatetime 两个参数需要“专业版及以上”才能使用,fid则需要企业版才能使用,个人版和注册用户无法使用该字段进行查询,查询时需要注意勾选。
:rocket: 二次开发
git clone https://github.com/wgpsec/fofa_viewer.git
本项目使用 maven-assembly-plugin
打包编译,可按照下图进行配置
idea 打开项目,等待依赖包下载完毕后直接双击 Plugins-assembly-assembly:assembly,然后将 target 文件夹中带有"with-dependencies"的 jar 包拷贝到带有 config.propertiese 的文件夹再运行即可。
⚠️ 说明
- 使用前需要在
config.properties
中配置email
和key
才能正常使用 FOFA 高级会员 - 项目中配置了 error.log,如果有需要提 bug,希望能带上这个截图,另外也欢迎提 issue 帮助改进。
- 如果出现了 bug,不知道哪出错了,也可以在终端使用
java -jar fofaviewer.jar
启动,出错后终端会显示具体的错误详情,提交 issue 的时候请带上截图。 - 关注公众号回复 “加群” 即可加入官方交流群
🙏Thanks
JetBrains OS licenses
fofa_viewer
had been being developed with IDEA
IDE under the free JetBrains Open Source license(s) granted by JetBrains s.r.o., hence I would like to express my thanks here.