Finger和Glass是两款集成了黑暗引擎的工具。在实际渗透中，我们依次访问四个引擎并搜集信息，有点重复、有点多余，很烦，而Finger就集成了Fofa和Quake，glass集成了Fofa&Quake&Shodan&Zoomeye，使用一个工具就能得到四个引擎的查询结果。Glass老师说不好用，我们选用Finger。

原理

黑暗搜索引擎官方提供了查询api，调用即可获取查询结果。Finger、glass就是基于api开发的集成工具。

Finger最后一次更新是在两年前，可能Fofa和Quake的api的返回的数据结构更新了，导致Finger查不到东西，所以弃用Finger：

解决办法：

• 手动线上查询

• 自制api。不建议，要实时更新，多累啊。

配置

阅读官方文档README.md，可知

安装

git clone https://github.com/EASY233/Finger.git
pip3 install -r requirements.txt
python3 Finger.py -h

配置api

打开config/config.py，分别设置线程数、填入fofa的api和quake的api。

# 设置线程数，默认30
threads = 30
​
# 设置Fofa key信息
Fofa_email = ""
Fofa_key = ""
# 普通会员API查询数据是前100，高级会员是前10000条根据自已的实际情况进行调整。
Fofa_Size = 100
​
# 设置360quake key信息，每月能免费查询3000条记录
QuakeKey = ""
​
# 是否选择在线跟新指纹库，默认为True每次程序都会检查一遍指纹库是否是最新
FingerPrint_Update = True

其中免费版fofa每月无api调用次数，倒是可以在线查300次且3000条数据。其中免费版QUAKE每月5次api调用次数，每月可在线查3000条数据（3000积分，1积分可查1数据）。

使用

参数说明

• -u 对单个URL进行指纹识别

• -f 对指定文件中的url进行批量指纹识别

• -i 对ip进行fofa数据查询采集其web资产

• -if 对指定文件中的ip批量调用fofa进行数据查询采集其web资产

• -fofa 调用fofa api进行资产收集

• -quake 调用360 quake进行资产收集

• -o 指定输出方式默认不选择的话是xlsx格式，支持json，xls。

使用

基于fofa

老师有fofa会员，这是他的查“caoporn”的结果：

基于quake

我没查出结果，可能是api更新了返回的数据结构，而脚本没有实时更新。展示下老师的查询结果：