获网安教程免费&进群
本文由掌控安全学院-念旧投稿0. 注意事项1. 前言2. 元数据介绍2.1 什么是元数据？2.2 如何查看元数据？2.3 /word/目录（内容区）2.4 /docProps/目录

 

获网安教程免费&进群

本文由掌控安全学院-念旧投稿0. 注意事项1. 前言2. 元数据介绍2.1 什么是元数据？2.2 如何查看元数据？2.3 /word/目录（内容区）2.4 /docProps/目录（元数据区）2.5 其它类型的文档

2.6 网络上的文档3. 批量提取元数据的方法3.1 批量提取元数据的方法3.2 FOCA介绍3.3 FOCA下载和安装3.4 SQL Server数据库下载和安装3.5 安装SQL Server时踩的坑

4. 使用FOCA提取元数据4.1 FOCA4.2 提取本地文件的元数据4.3 搜索网络文件4.4 下载网络文件4.5 提取并分析网络文件的元数据4.6 恶意软件分析4.7 FOCA导出数据5. FOCA其它功能

5.1 过滤器5.2 插件5.3 子域名暴破6. 结语6.1 FOCA的书籍7. 本文章使用到的内容0. 注意事项本工具以及文章中的内容仅供与学习或合法渗透测试，使用时请遵守中华人民共和国网络安全法：http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm

如果您在使用的过程中存在任何非法行为, 或造成了任何后果, 您需自行承担相应责任, 我们将不承担任何法律及连带责任1. 前言大家好，我是zkaq-念旧，今天来给大家介绍一下“元数据”以及元数据检索和分析工具“FOCA”。

本文章使用到的软件安装包放在了文章末尾；同时你也可以在查看文章的过程中，到官网进行下载对于渗透测试来说，能否获取目标的敏感信息非常关键，因为这可以增加攻击成功的几率敏感信息有很多，例如员工姓名、电话号码、电子邮件地址和客户端软件版本等信息

而这类信息来源之一是文档元数据2. 元数据介绍2.1 什么是元数据？元数据就是“数据的数据”元数据主要用来描述一些数据的属性，用来指示一些数据，例如文件存储位置、地理坐标、历史数据等某些应用程序（例如Msoffice办公软件），会在保存到磁盘的文件中，存储任意信息（在你不知道的情况下）

例如地理坐标、应用程序版本、操作系统信息和用户名等

2.2 如何查看元数据？元数据在很多种文档中都有存储例如.doc、.xls、.ppt等后缀的文件通常我们是看不见元数据的，现在教大家怎么查看以上文件中的元数据我们在电脑上面新建一个Word文档，打开文档并随便写入一点内容，然后关闭

修改Word文档的后缀名，将.docx修改为.zip

什么？你问我为什么改成.zip后缀，难道要解压？没错，我们使用压缩软件解压这个Word文档（这里用的是某60）可能很多人不知道，Word文档其实是可以解压的

解压成功，而且没有报错，我们打开文件夹，这就是Word文档的结构Word文档是使用xml来存储数据的

可以看到一大堆的文件和内容，我们的主要关注点是在/word/和/docProps/当中

2.3 /word/目录（内容区）该目录主要存储的是Word文档的相关样式，还有用户输入的内容等这个文件记载了Word文档的一些字体信息，例如“等线中文”之类的

我们再看看下一个文件，可以看到，我们之前输入的内容都存储在这里面你在Word文档中输入的内容越多，这个文件的大小也会随之增加

这个文件记载了Word文档的样式

2.4 /docProps/目录（元数据区）该目录记载了Word文档的相关属性，例如软件版本、用户名等app.xml记载了你所使用的软件信息，例如：你使用的软件是Microsoft Office Word

使用的软件版本是16.0000

根据版本对照表，我使用的是Office 2016，所以显示的是16，没毛病什么？你问我用的是正版还是破解版？（咳咳，你应该懂的）另外，我这里登录的用户是ThinkPad

core.xml记载了元数据的主要内容\指的是创建这个文档的用户\上一次编辑这个文档的用户由于创建和编辑都是我，所有只有一个用户名ThinkPad上面我提到了，我登录的用户是ThinkPad，元数据给我记录了

还有我编辑Word文档的时间，也给我记录了我这里显示的数据比较少，假如我把定位开了，还有可能把我的地理位置给记录进去

试想一下某人编辑了一个Word文档，将自己的地理位置等敏感信息记录到了元数据当中由于元数据通常情况下也看不见，某人就毫无防备地将这个Word文档发布到了网上某攻击者下载了这个Word文档，并提取了其中的元数据

那么攻击者就掌握了这个人的地理位置等敏感信息是不是很可怕？我：等下，你们翻我的文章干啥？某些同学：看你有没有上传文档之类的我：我真的栓q2.5 其它类型的文档上面提到，除了.doc的其它文件也存在元数据

我们新建Excel表格和PPT，修改后缀为.zip，然后依次解压，也成功了，没有报错

每个不同后缀名的文件，解压后的文件可能都不太一样，但是结构大致都相同

更多类型的文档可以自行探索，这里就不再一个个介绍2.6 网络上的文档我们可以利用Google语法，对某个企业或攻击目标的文档进行搜索，并提取其中的元数据我这里使用了Bing搜索，搜索语法和Google差不多

像前面教的一样，修改后缀名，解压

可以看到，文件数量和大小 比我之前新建的Word文档多了很多看到dell可以想到什么？—-这个老师用的可能是戴尔的电脑使用的是Office 2016创建文档的用户是dell，最后一次编辑的用户是qian xu

还有时间：最后一次打印的时间2018年5月、创建时间2022年4月、最后一次编辑的时间2022年4月

可能有同学会问：打印在2018年，可是创建时间是2022年？穿越了？这个我也不太清楚，有可能创建确实是在2022年，但是打印时 使用的计算机时间不对为此我做了个实验，我将自己的计算机时间调到了1992年

然后打开之前的Word文档，编辑后保存，再次解压可以看到，创建时间2022年，但是我在1992年就已经编辑了这个文件（我也穿越了！）

什么？你问我元数据里面的时间为什么不准？不是1992年吗，怎么变成1991年了我们使用的是北京时间文档使用的可能是其它的时间，例如m国时间，有时间差3. 批量提取元数据的方法3.1 批量提取元数据的方法

如果像上面教的，一个个文档改后缀名，一个个解压，一个个查看，那就太麻烦了，有没有简便点的方法？编写脚本提取元数据目前很多语音都有提取元数据的功能，例如Python、Java、Golang等但是考虑到大多数人可能不会语言，所以这里不进行讲解

使用工具进行提取一个名为FOCA的工具 在检索和解析文档元数据方面做得非常出色注意了啊，敲黑板，是FOCA，不是FOFA，虽然相差一个字母，但是差别还是挺大的FOFA是网络空间搜索引擎，主页https://fofa.info

FOCA是元数据检索和解析工具，主页https://www.elevenpaths.com/labstools/foca/index.html3.2 FOCA介绍FOCA（Fingerprinting Organizations with Collected Archives）

是一款在文档中查找元数据和隐藏信息的工具；这些文件可能在网络上，尚未下载到本地，可以通过FOCA进行自动化下载和分析；它能够分析各种文档，最常见的是 Microsoft Office、Open Office 或 PDF 文件，但它也可以分析 Adobe InDesign 或 SVG 文件等；

在安装了FOCA运行后，通过Google、Bing 和 DuckDuckGo 等搜索引擎，可寻找各种文件类型，包括DOC，PDF，XLS，PPT模板，甚至Adobe文件；还可以添加本地文件，从图形文件中提取EXIF信息，甚至在下载文件之前，就可以通过对URL发现的信息进行完整的分析；

从文件中提取数据后，FOCA通过对URL发现的信息进行完整分析，匹配信息以识别哪些文档是由同一团队创建的，以及可以从中推断出有哪些服务器和客户端另外，FOCA还是一款开源软件，可以在Github上面找到它。

https://github.com/ElevenPaths/FOCA我们可以看到，FOCA是使用C#语言开发的而且人如其名，FOCA的Logo是一只海豹（这海豹看起来有点…）

3.3 FOCA下载和安装我们直接在Github下载FOCA的压缩包：https://github.com/ElevenPaths/FOCA/releases

下载完成之后，解压，FOCA不需要安装，解压之后就可以使用，看到那个.exe文件了吗，双击它

双击之后，FOCA会进行加载，然后报了一个错误，这个错误的意思是：FOCA需要SQL Server数据库，你需要配置数据库连接

3.4 SQL Server数据库下载和安装FOCA需要SQL Server数据库才能进行使用在官网下载SQL Server：https://www.microsoft.com/en-IN/sql-server/sql-server-downloads

要下载的版本是Express，我们点击下面的“Download now”即可下载安装包

然后我们双击安装包，进行安装

我在安装的过程中，出现了个问题，安装程序一直卡在这个界面

然后我就上网搜索相关的问题，一直没有找到合适的解决方法，直到…我换了个网络，然后就好了（垃圾校园网）当然，你们可能会遇到其它问题，可以参考：https://blog.csdn.net/m0_61126377/article/details/124247101

其它问题自行百度

然后就按照提示进行安装，大部分选项默认即可，安装路径有需要的话可以更改

这里检查防火墙不通过，我们将防火墙关闭，然后点击“重新运行”（有杀毒的可以把杀毒退掉）

红框内的选项可以不要，把√去掉即可，其它默认

这里我们选择“默认实例”

这里我添加了SQL Server的身份验证一个是使用Windows系统账号密码进行登录一个是使用SQL Server账号密码进行登录混合模式支持以上2种登录方式

安装进度有点慢，需要耐心等待

安装完成之后，我们打开菜单里的“SQL Server 2019 配置管理器”可以看到，SQL Server服务“正在运行”

我们打开FOCA，尝试连接SQL Server数据库填IP地址不知道行不行，同学们可以尝试一下注意：SQL Server必须开启远程连接功能，我这里安装之后默认是开启的，可以尝试连接一下，如果不行的话百度“SQL Server开启远程连接”，根据教程进行开启

Server name服务器名称，我这里填的是计算机名，计算机名大家应该知道怎么看…吧（不会百度）我这里选择了SQL Server的身份验证，用户名默认是sa，密码是安装时你自己设置的（参考上面的第9步）

连接成功，显示了FOCA的界面，至此，准备工作就完成了什么？你说准备工作好长，劝退了我也花了好长时间，主要是这SQL Server是真麻烦，安装又慢（微软给我爬）

3.5 安装SQL Server时踩的坑是哪个小傻子安装SQL Server装了大半天？噢，是我自己，md…越想越气服务器配置，这里我踩了坑，一直安装不成功，如图数据库引擎一直安装失败失败再失败，上网查了好久（下面的图片是我从网上找来的，我不想再装一次了）

找到一篇文章说缺少.net，一查计算机我确实缺少.net，然后开启了.net，还是安装失败=-=

最后发现，貌似是权限问题这里安装使用了默认的用户，可能权限不够，所以没有安装成功我们点击浏览，尝试更换用户

高级 -> 立即查找 -> 我这里直接选了SYSTEM，最高权限 -> 确定 -> 再次安装，成功我忘记是在哪篇文章里看到的了，找不到了（失落）

终于把SQL Server安装好了，微软我r…咳咳，文明文明4. 使用FOCA提取元数据4.1 FOCA我们先点击Cancel关闭这个窗口，暂时不需要

这个就是FOCA的真正面貌了

4.2 提取本地文件的元数据我们右键中间的空白区域，有3个选项是亮着的FOCA可以分析URL，并在网上搜索这个URL的相关资产，然后进行元数据提取

添加文件添加文件夹从一个文件中批量读取URL添加文件，我们把刚刚新建的Word文档导入进来，可以看到上方有英文的标题，分别是：文件序号文件类型文件URL（网址或本地路径）是否已经下载（没有为红色的叉×，有则为绿色的圆点·）

下载时间文件大小是否已经进行元数据提取（红色的叉×/绿色的圆点·）是否已经进行元数据分析（红色的叉×/绿色的圆点·）修改时间

我们右键这条记录，然后选择“Extract Metadata”进行元数据提取

提取元数据之后，我们可以看到左边的内容展开了，条目内容分别是：文件（目前只有“新建Word文档”一个，所以显示数量为1）metadata summary是元数据的统计列表Users发现的用户名Folders发现的文件夹

Printers打印机Sofaware软件Emails电子邮件地址Operating Systems操作系统Passwords密码Servers服务malware summary是恶意软件的统计列表

我们点击Users和Software条目，可以看到一个用户名“ThinkPad”和软件“Microsoft Office”正是我们在前面解压之后看到的内容，FOCA成功地将其中的数据给提取了出来

4.3 搜索网络文件前面我们提到，FOCA还可以自动下载和分析目标的元数据当然，不是全自动的（不然还要你来干嘛，诶诶诶轻点！啪！）我们点击“New project”新建一个项目

我这里选择微软的microsoft.com域名作为攻击目标（咳咳，不是针对啊）原本在网上随便挑选了一个幸运儿作为攻击目标，想想还是算了（原谅我）然后点击Create进行创建Import可以导入现有的项目

可以看到，上面出现了很多内容，可以定义搜索文档的规则我这里选择使用Bing，搜索Office基本的3个文档类型

你也可以点击Custom search自定义搜索规则，语法就是Google语法、Bing语法之类的

点击最右边的“Search All”，就可以搜索你选择的类型搜索完成之后，下方会有一条记录，我这里显示搜索结果为0

怎么搜索结果会是0呢？我们手动在Bing上搜索看看效果我们手动可以搜索出很多文档，但是FOCA一条记录都没有搜索到这时有人会说了，这FOCA是假的吧

我们使用Google搜索看一看然后你会发现，FOCA搜索卡住了为什么呢？因为访问Google需要科学上网，也就是翻qiang如图，我们使用Google搜索失败了，下面的DuckDuckGo也是国外搜索引擎，也需要翻qiang

会不会是因为没有翻墙，所以Bing才没有搜索出结果呢我们点击左下角的“Setting”，可以看到一些功能的设置，你可以开启或关闭这些功能我们点击“debug”选项将其开启

开启debug选项之后，你会看到旁边多了很多记录仔细一看，发现FOCA使用的Bing接口是www.bing.comwww.bing.com也是境外网站，我们在国内访问会自动跳转到cn.bing.com

这里我选择科学上网，只为了给大家做个实验（找个科学方法费了我半天）如何科学上网这里就不讲解了，容易被jc叔叔请过去我在此承诺，科学上网只为了学习，绝对绝对没有做奇奇怪怪的事情

科学上网之后，我们将Google和Bing勾选，再次点击“Search All”可以看到，搜索出了很多的内容（科学上网就是妙啊）如果你觉得数量已经够了，可以点击最右边的“Stop”终止运行，FOCA就会停止搜索数据了

4.4 下载网络文件如图，Download一栏是红色的叉×，表示文件没有下载可以按住键盘的“Ctrl”键，然后鼠标左键点击你想要的记录，就可以同时选中多条记录然后点击“Download”下载，就会将你选中的记录下载到本地

FOCA只是从网络上搜索到了这个文档，但是还没有下载到本地我们可以右键，然后选择“Download All”下载全部，FOCA就会自动将列表中的所有文档下载到本地如果你只想下载其中的某些文档如果你下载到一半，突然不想要那么多，可以右键

“Stop Download” 停止下载 你当前选中的这条记录“Stop All Downloads” 停止下载当前列表中的所有记录

成功下载的文档会显示绿色的圆点·左边显示的是“已下载的文件数/搜索到的文件数”已经下载的文件，会保存在你新建项目时，选择的项目目录当中

4.5 提取并分析网络文件的元数据下载所需要的文档之后，可以右键然后点击“Extract All Metadata”然后FOCA就会分析这些文档中的元数据分析成功的文档，会显示绿色的圆点·看分析结果，9个用户名，257个文件夹/文件路径，7个软件，4个操作系统

这些用户名可能是跟微软有关的人，可能是账号名称，也可能是真人名称如果是账号名称，可以在登录窗口尝试登录等操作如果是真人名称，可以尝试社工等操作

再看看Folders，可以看到很多URL和本地路径URl，可能是目标网站调用的外部资源，或者是和微软有合作等关系的本地路径，可能是这个文档存放在目标服务器中的绝对路径

软件和系统可以看到有Office办公软件，还有PS，这些软件都是有漏洞的，可以针对性进行攻击（例如Word文档钓鱼等）系统…居然还有这么老的系统吗

4.6 恶意软件分析我们还可以右键，点击“Analyze All Malware”分析所有恶意软件FOCA会对这些文档进行分析，查找这里面是否有恶意的文档，例如存在宏病毒的Word文档分析完成之后，点击左边的“Malware Summary（DIARIO）”就可以查看分析结果

可以看到，FOCA将这些文档分为了两大类一个是恶意软件，表明这个文档存在宏，可能是宏病毒之类的没有宏，表示这个文档没有定义宏什么？你问我宏是什么？这里就不细讲了，可以自行百度

我们可以右键，在浏览器中打开这个URL，然后下载这个文件下载之后不要打开啊，万一真的是病毒，你电脑就直接无了

某60一下，没有发现

云沙箱一下，存在宏，但是是安全的（保险起见还是不要点开）

换一个云沙箱，好家伙，怕怕

4.7 FOCA导出数据右键，点击“Export data to file”，然后选择一个文件，就可以将这些数据导出

大部分的数据都支持导出，导出方式都一样，右键然后选择导出即可

5. FOCA其它功能5.1 过滤器FOCA有2个过滤器，点击下方的“Setting”之后就可以看到

日志过滤器debug（Debug日志）error（错误日志）low（低级日志）medium（中级日志）high（高级日志）FOCA运行时产生的日志，你可以根据需求勾选其中低中高级，是日志的重要性，越严重的越高级，就和漏洞的低中高危差不多

模块过滤器AutoSave（自动保存）Crawling（爬虫）DNSSearch（DNS搜索）……FOCA运行时使用的模块和功能功能比较多，可以自行探索，这里就不详细讲解时间、功能模块、日志级别(类型)、详细信息

5.2 插件FOCA是可以添加插件的FOCA自带了一些插件，默认没有添加，可以根据需要自行添加你也可以自己写一个插件出来（当然，我不会，别看我）我们打开FOCA所在的目录，可以看到一些文件夹，这些就是FOCA自带的插件

点击菜单栏里的“Plugins” -> “Load/Unload plugins”就可以查看插件面板了

点击“Load new plugin”，找到插件的路径并添加

然后再次点击“Plugins”，你会发现多出了一个菜单，点击之后就会出现插件的页面

更多的插件和功能可以自行测试5.3 子域名暴破没错，你没有听错，FOCA还可以用来暴破子域名新建一个项目，还是使用microsoft.com作为攻击目标

点击旁边的“Domains” -> “Add hostname”，将microsoft.com添加进去

选择“Network”，将“Dictionary Search”勾选，然后点击“Browse”选择一个字典文件

右键域名，选择“Search for subdomains in dnsdumpster.com”，FOCA就会开始搜索子域名了

一堆子域名，你可以挑选其中有用的域名

不过FOCA的子域名暴破有个问题，就是…程序容易卡死经常暴破到一半，FOCA就卡死自动退出了，感觉不是很好用（不是很好用那你说来干嘛？）哎呀，我就介绍介绍，总有一天能…哎哎哎！轻点6. 结语好了，本次的FOCA教学就到这里了，其中有2个麻烦的点

SQL Server安装科学上网鼓励大家研究FOCA的更多用法（然后来教教我，我也不大会）6.1 FOCA的书籍FOCA是有出版书籍的，但是我在某宝和某东上没有找到，不知道是不是太冷门了感兴趣的小伙伴可以去找一找（找到以后分我一份，诶嘿）

7. 本文章使用到的内容百度百科-元数据：https://baike.baidu.com/item/%E5%85%83%E6%95%B0%E6%8D%AE/1946090FOCA：https://github.com/ElevenPaths/FOCA

FOCA使用-1：https://empresas.blogthinkbig.com/como-analizar-documentos-con-foca/FOCA使用-2：https://blog.csdn.net/fydata/article/details/122323236

微步云沙箱：https://s.threatbook.com/大圣云沙箱：https://sandbox.vulbox.com/申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！分享本文到朋友圈，可以凭截图找老师领取上千教程+工具+交流群+靶场账号哦

分享后扫码加我！回顾往期内容Xray挂机刷漏洞零基础学黑客，该怎么学？网络安全人员必考的几本证书！文库｜内网神器cs4.0使用说明书代码审计 | 这个CNVD证书拿的有点轻松【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~ 你的点赞是我更新的动力

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186