当前位置:首页 » 《随便一记》 » 正文

Github信息收集骚姿势_kracer的博客

29 人参与  2022年04月12日 15:41  分类 : 《随便一记》  评论

点击全文阅读


目录

一、github搜索之基础语法

二、配合google语法使用

三、工具推荐

         渗透中github敏感信息泄露的收集是个重要点,经常能发现员工上传的公司代码、用户名密码、个人信息和客户key等敏感信息。那GitHub有没有类似GoogleHack一系列的命令语法呢?如何使用高级命令语法进行信息收集让你我有意想不到的收获呢?

一、github搜索之基础语法

in:name test               # 仓库标题搜索含有关键字test
language:java test         # 在java语言的代码中搜索关键字
in:descripton test         # 仓库描述搜索含有关键字
in:readme test             # Readme文件搜素含有关键字
stars:>3000 test           # stars数量大于3000的搜索关键字
stars:1000..3000 test      # stars数量大于1000小于3000的搜索关键字
forks:>1000 test           # forks数量大于1000的搜索关键字
forks:1000..3000 test      # forks数量大于1000小于3000的搜索关键字
size:>=5000 test           # 指定仓库大于5000k(5M)的搜索关键字
pushed:>2021-09-15 test    # 发布时间大于2019-02-12的搜索关键字
created:>2021-09-15 test   # 创建时间大于2019-02-12的搜索关键字
user:test                  # 用户名搜素
license:apache-3.0 test    # 明确仓库的 LICENSE 搜索关键字
user:test in:name test     # 组合搜索,用户名test的标题含有test的
搜索特殊关键词
	@xxx.com password/secret/credentials/token
	@xxx.com config/key/pass/login/ftp/pwd
搜索连接凭证
	@xxx.com security_credentials/connetionstring
    @xxx.com JDBC/ssh2_auth_password/send_keys
查找GitHub作者邮箱
    GitHub API接口查找:https://api.github.com/users/<name>/events/public
    通过commits:作者主页-->找无fork的仓库-->点击commits进入-->点击进入作者后边数字-->进入后url地址后加上 .patch

注意事项:
    1. 冒号两侧不能有空格
    2. 不区分大小写
    3. 不能将以下通配符用作搜索查询的一部分,搜索将忽略这些符号:. , : ; / \ ` ' " = * ! ? # $ & + ^ | ~ < > ( ) { } [ ];
    4. 搜索默认为master分支
    5. “-”用于取反,除stars其他关键字也适用

二、配合google语法使用

1、邮件配置信息收集

site:github.com smtp
site:github.com pop
site:github.com smtp @qq.com
site:github.com smtp @163.com
site:github.com smtp password
site:github.com String password smtp
site:github.com String protocol = "pop3"
结合厂商域名,灵活运用
sit:github.com smtp @sina.com

2、数据库信息收集

site:github.com sa password
site:github.com root password
site:github.com User ID='sa';Password
site:github.com inurl:sql

3、进行 SVN 信息收集

site:github.com svn
site:github.com svn username
site:github.com svn password
site:github.com svn username password

4、综合信息收集

site:github.com password
site:github.com ftp ftppassword
site:github.com 密码
site:github.com 内部

三、工具推荐

1、GSIL地址  https://github.com/FeeiCN/GSIL

2、GitPrey地址  https://github.com/repoog/GitPrey

3、Nuggests地址  https://github.com/az0ne/Github_Nuggests

4、theHarvester地址  https://github.com/laramies/theHarvester


点击全文阅读


本文链接:http://m.zhangshiyu.com/post/37891.html

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1