github信息收集

红蓝的案例中,大佬们老说从github找到xx企业的账号密码啥的,今天就来学习一下怎么利用github敏感文件……

Github介绍

就……不介绍了吧,2020了不会还有程序员不知道Github吧,别问,问就是全球最大的代码托管平台!

Github与信息收集

易暴露信息

  • 内网ip
  • 账号密码
  • 公钥私钥
  • 文件目录
  • 敏感接口
  • 邮箱
  • 电话
  • ……

威胁思路

图片借用,侵删

Github搜索语法

参考链接:https://help.github.com/cn/articles/searching-code

API接口

https://developer.github.com/v3/search/code?q=keyword

文件内搜索内容

1
要搜索的内容 in:file

目录或文件路径中搜索字段

1
2
要搜索的字段 in:path
敏感字段:upload、download、admin、manager、file、read、from等

搜索特定组织

1
org:ORGNAME

搜索特定后缀

1
2
extension:EXTENSION
敏感后缀:config、ini、con

GitHub信息泄露工具及常见工具介绍

Google Hacking

搜索邮箱信息

1
site:GitHub.com smtp @目标域名

搜索公司内部信息

1
2
site:Github.com corp.xx.com
site:Github.com xx-inc.com

GSIL

介绍

GSIL,下载地址为https://github.com/FeeiCN/GSIL.git,可用来监控特定组织的敏感信息泄露

使用教程

  1. 获取github access token
  2. 配置rules.gsil规则
  3. 验证token:
    1
    python gsil.py -verify-tokens
  4. 开始扫描
    1
    python3 gsil.py 关键字/组织域名

git-all-secrets

介绍

针对特定组织进行监控

配置

1
2
3
docker search tools_gitallsecrets
docker pull abhartiya/tools_gitallsecrets
docker run -it abhartiya/tools_gitallsecrets -token=TOKEN -org=ORGNAME (-toolName=repo-supervisor)
本文作者: yd0ng
本文链接: https://yd0ng.github.io/2020/07/16/github%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!

谢谢您的打赏,大家一起加油喔~

支付宝
微信

扫一扫,分享到微信

微信分享二维码

阅读数: 次   
载入天数...载入时分秒...

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

网络安全<br>敬畏技术<br>保持正直