Space Query Skill

用于构建 FOFA、Quake 等平台的资产搜索查询,支持漏洞与服务发现。

已扫描
适合谁
网络安全研究人员、渗透测试工程师
不适合谁
普通办公人员、无技术背景的初学者
国内可用性
需网络配置。可能需要网络配置或第三方服务可访问。
安装难度
新手友好(★☆☆)。基于终端操作、依赖、API Key 和本地环境要求的初步判断。

安装与下载

openclaw skills install @gandli/space-query-skill

Skill 说明

命令、参数、文件名以原文为准

Space Query Skill

跨平台查询构建工具,支持 FOFA、Quake、ZoomEye 和 Shodan。

快速开始

  1. 确定平台 — 使用指定平台或向用户询问
  2. 分析意图 — 明确要查找的内容、位置、属性及排除项
  3. 构建查询 — 应用对应平台的正确语法
  4. 呈现结果 — 使用以下输出格式

平台选择

平台适用场景语法风格
FOFA全球覆盖,协议详情field="value"
Quake(鹰图)中国数据,威胁情报field:value
ZoomEye服务指纹识别field:value
Shodan物联网设备,漏洞关联field:value

核心查询模式

模式 1:暴露的服务

FOFA:   product="Redis" && port="6379" && country="CN"
Quake:  app:Redis AND port:6379 AND country:China
Shodan: product:Redis port:6379 country:CN

模式 2:登录页面

FOFA:   (title="登录" || title="admin" || title="后台") && country="CN"
Quake:  (keyword:登录 OR keyword:admin) AND country:China
Shodan: title:"login" country:CN

模式 3:文件上传功能

FOFA:   (body="plupload" || body="webuploader" || title="上传") && country="CN"
Shodan: http.html:"type=\"file\"" country:CN

模式 4:SSL 证书问题

FOFA:   cert.is_expired=true && country="CN"
Shodan: ssl.cert.expired:true country:CN

模式 5:CVE/漏洞搜索

重要提示:必须从 CVE 信息中提取特征,并使用平台特定的产品标识符。

CVE 查询流程

┌─────────────────────────────────────────────────────────────┐
│  步骤 1:网络搜索官方查询方法                             │
│  搜索关键词:"[平台] CVE-XXXX-XXXX" 或 "[CVE] + FOFA"     │
└─────────────────────────┬───────────────────────────────────┘
                          ▼
┌─────────────────────────────────────────────────────────────┐
│  步骤 2:查找官方来源                                     │
│  - 平台博客(en.fofa.info, quake.360.net/blog)         │
│  - 安全资讯网站(securityonline.info, nvd.nist.gov)     │
│  - GitHub 上的 PoC 仓库常包含平台查询语句                 │
└─────────────────────────┬───────────────────────────────────┘
                          ▼
┌─────────────────────────────────────────────────────────────┐
│  步骤 3:提取平台特定的产品 ID                            │
│  - FOFA 使用 app="产品名称"                               │
│  - Quake 使用 app:产品名称                                │
│  - Shodan 使用 product:产品名称                           │
└─────────────────────────┬───────────────────────────────────┘
                          ▼
┌─────────────────────────────────────────────────────────────┐
│  步骤 4:构建查询                                         │
└─────────────────────────────────────────────────────────────┘

如何查找官方来源

当收到一个 CVE 时,务必优先进行网络搜索:

# 搜索平台特定查询
web_search: "CVE-2024-38819 FOFA query"
web_search: "CVE-2024-38819 fofa.info"
web_search: "CVE-2024-38819 Quake 360"
web_search: "CVE-2024-38819 PoC github"

# 搜索平台官方公告
web_search: "site:en.fofa.info CVE-2024-38819"
web_search: "site:quake.360.net CVE"

应检查的官方来源:

来源URL可查找内容
FOFA 博客en.fofa.info官方查询语句,精确的产品 ID
Quake 博客quake.360.net/blog威胁情报公告
NVDnvd.nist.govCVE 详细信息,受影响产品
SecurityOnlinesecurityonline.info包含平台查询的 PoC
GitHubgithub.comPoC 利用代码中常包含 FOFA/Quake 查询

示例 - CVE-2024-38819

步骤 1:网络搜索

搜索: "CVE-2024-38819 FOFA"
结果: en.fofa.info 显示 "app="vmware-Spring-Framework""

步骤 2:找到官方查询

FOFA: app="vmware-Spring-Framework" (超过 25,000 条结果)

步骤 3:跨平台转换

FOFA:   app="vmware-Spring-Framework"
Shodan: product:"Spring Framework"
Quake:  app:Spring
ZoomEye: app:spring

错误与正确做法对比

错误(懒惰方式):

body="CVE-2024-38819"     ❌ 在 body 中直接使用 CVE 编号,无结果
product="Spring"           ❌ 多数平台使用错误的产品 ID

正确(使用官方产品 ID):

app="vmware-Spring-Framework"  ✅ FOFA 官方查询语句

已验证的 CVE 查询表

CVE影响组件FOFAShodanQuake
CVE-2024-38819Spring Frameworkapp="vmware-Spring-Framework"product:"Spring Framework"app:Spring
CVE-2021-44228Apache Log4japp="Apache-log4j2"product:log4japp:log4j
CVE-2019-0708Windows RDPapp="Microsoft-RDP"vuln:CVE-2019-0708app:RDP
CVE-2022-22965Spring4Shellapp="vmware-Spring-Framework"product:Springapp:Spring

规则:一旦在可信来源(平台博客、安全网站、已验证 PoC)中发现官方查询,应直接使用该语句。

运算符优先级

() > == > = > != > && > ||

规则:多个 OR 条件必须用 () 包裹。

输出格式

使用以下结构呈现查询结果:

## 查询

**平台:** [平台]

[查询内容]

### 说明
- **目标**:此查询旨在发现的内容
- **字段**:主要使用的字段
- **逻辑**:AND/OR 的关系

### 建议
- 可考虑的附加过滤条件
- 已知限制
- 替代实现方式

字段参考

完整字段列表请参见 resources/fields.md

重要注意事项

  1. 括号使用(A || B) && C,而非 A || B && C
  2. 平台语法差异 — FOFA 使用 =",其他平台使用 :
  3. 中文字符 — FOFA 支持 country="中国",建议其他场景使用英文
  4. 时间筛选 — FOFA 和 Quake 支持 after/before 时间过滤

故障排查

问题解决方案
无结果返回添加 status_code="200" 或移除严格过滤条件
结果过多增加国家、时间或产品等筛选条件
语法错误检查参考文件中的平台配置
G
@gandli

已收录 1 个 Skill

相关推荐