悲痛一下

作為出身貧寒的山裡老農民，昨晚被老外黑產團隊薅了幾千刀，哎。。

一夜久久不能入睡。恰巧王者榮耀昨晚更新，連人機發泄的機會都木有！

人在江湖飄，哪有不挨刀。好在我淳樸，不會太偏激，不然肯定跟股票散戶一起上樓頂排隊等著跳了！

所謂事物都有兩面性，這也引發了我一個想法，打算介紹一下這個國外黑產團隊的操作手法。

當然，這個不是今天的主題，今天主要介紹Fofa使用的一個小技能。

Fofa是啥

FOFA是白帽匯推出的一款網路空間資產搜索引擎。

它能夠幫助用戶迅速進行網路資產匹配、加快後續工作進程。

例如進行漏洞影響範圍分析、應用分布統計、應用流行度排名統計等。

在我心裡的Fofa

大道理我看不懂，什麼網路資產，資產匹配，我一個鄉下人，怎麼看的懂。

簡單說，Fofa就是一個大數據平台，通過一個網站，或者一個IP，不停的往外爬，記錄網站的各種信息，比如title,keyword,description，body，當然也把伺服器的埠也掃一個夠，然後在記錄到資料庫里，按用戶的搜素進行查詢輸出。

這需要非常龐大的伺服器群體去抓取，對於小公司或者個人，工作量很龐大。

所以，我這裡充值了VIP，這樣，我就可以用他們的數據，來進行對我競爭對手的一些查詢等等。

鐺鐺鐺鐺。會員！！！

感覺我上天了有木有。什麼QQ紅鑽黃鑽藍鑽綠鑽裸鑽，在我眼裡都是蛋啊。你們有Fofa會員嗎？？？

看我小技能，薅社會羊毛

這是一個收費的WORDPRESS主題。

嗯 國產的，還不錯。。

但是收費啊，咱沒錢。

於是我就想到了Fofa，大數據平台。

先普及FOFA的搜素姿勢

這裡我們只用到一個

body="abc" 從html正文中搜索abc。

我們查看下原來主題的DEMO網站源碼：

可以看出，主題的關鍵搜素詞

/wp-content/themes/mimelove/

直接FOFA搜索

我們可以看到，FOFA列出了16條這樣的網站，我們可以採集下來，當然，不會寫腳本的，可以手動複製出來，或者自己想起他的辦法。

這裡我用一款軟體直接弄（不說啦，廣告只打一個就好）

然後我們導出到一個TXT里，再批量針對敏感性的文件進行掃描

什麼是敏感性文件？

1 總所周知，wordpress上傳主題，或者插件的時候是zip格式，早期通過後台上傳，會到wp-content/uploads這個文件夾裡面

2 站長的習慣zip上傳到對應的文件夾，再解壓。

3 默認打包的壓縮包

所以，這裡我們直接編輯軟體的掃描配置

看下掃描結果

我下載驗證了一下

收費的主題就這樣被我輕而易舉的薅到了？

沒錯！！！

這是世界的一個大難題

很多國外的收費主題，也基本可以靠著fofa進行大數據找出網站後，再進行路徑配置匹對掃描獲得。

這個是全世界站長的一個安全意識，短期內是很難解決的。

在這裡，也建議主題的作者留個心吧，賣主題的時候，順便對買家發一份主題如何保護的操作說明。

伸手必備抓！善意的提醒！

遵紀守法，涉及到黑產的，灰產的賺錢項目，請最好遠離，很多人在知乎上，微信公眾號後台留言要找我合作，這樣的留言我基本不回復，來自山裡的老農民，是不會做非法的事情。也希望大家能夠注意，不要做犯法的事情。

分享到這裡

本期與互聯網賺錢沒啥關係，純粹投個懶，介紹一下一個我比較喜歡的大數據平台的使用小技巧。