当前位置:首页 » 《随便一记》 » 正文

Github信息收集骚姿势_kracer的博客

21 人参与  2022年04月12日 15:41  分类 : 《随便一记》  评论

点击全文阅读


目录

一、github搜索之基础语法

二、配合google语法使用

三、工具推荐

         渗透中github敏感信息泄露的收集是个重要点,经常能发现员工上传的公司代码、用户名密码、个人信息和客户key等敏感信息。那GitHub有没有类似GoogleHack一系列的命令语法呢?如何使用高级命令语法进行信息收集让你我有意想不到的收获呢?

一、github搜索之基础语法

in:name test               # 仓库标题搜索含有关键字test
language:java test         # 在java语言的代码中搜索关键字
in:descripton test         # 仓库描述搜索含有关键字
in:readme test             # Readme文件搜素含有关键字
stars:>3000 test           # stars数量大于3000的搜索关键字
stars:1000..3000 test      # stars数量大于1000小于3000的搜索关键字
forks:>1000 test           # forks数量大于1000的搜索关键字
forks:1000..3000 test      # forks数量大于1000小于3000的搜索关键字
size:>=5000 test           # 指定仓库大于5000k(5M)的搜索关键字
pushed:>2021-09-15 test    # 发布时间大于2019-02-12的搜索关键字
created:>2021-09-15 test   # 创建时间大于2019-02-12的搜索关键字
user:test                  # 用户名搜素
license:apache-3.0 test    # 明确仓库的 LICENSE 搜索关键字
user:test in:name test     # 组合搜索,用户名test的标题含有test的
搜索特殊关键词
	@xxx.com password/secret/credentials/token
	@xxx.com config/key/pass/login/ftp/pwd
搜索连接凭证
	@xxx.com security_credentials/connetionstring
    @xxx.com JDBC/ssh2_auth_password/send_keys
查找GitHub作者邮箱
    GitHub API接口查找:https://api.github.com/users/<name>/events/public
    通过commits:作者主页-->找无fork的仓库-->点击commits进入-->点击进入作者后边数字-->进入后url地址后加上 .patch

注意事项:
    1. 冒号两侧不能有空格
    2. 不区分大小写
    3. 不能将以下通配符用作搜索查询的一部分,搜索将忽略这些符号:. , : ; / \ ` ' " = * ! ? # $ & + ^ | ~ < > ( ) { } [ ];
    4. 搜索默认为master分支
    5. “-”用于取反,除stars其他关键字也适用

二、配合google语法使用

1、邮件配置信息收集

site:github.com smtp
site:github.com pop
site:github.com smtp @qq.com
site:github.com smtp @163.com
site:github.com smtp password
site:github.com String password smtp
site:github.com String protocol = "pop3"
结合厂商域名,灵活运用
sit:github.com smtp @sina.com

2、数据库信息收集

site:github.com sa password
site:github.com root password
site:github.com User ID='sa';Password
site:github.com inurl:sql

3、进行 SVN 信息收集

site:github.com svn
site:github.com svn username
site:github.com svn password
site:github.com svn username password

4、综合信息收集

site:github.com password
site:github.com ftp ftppassword
site:github.com 密码
site:github.com 内部

三、工具推荐

1、GSIL地址  https://github.com/FeeiCN/GSIL

2、GitPrey地址  https://github.com/repoog/GitPrey

3、Nuggests地址  https://github.com/az0ne/Github_Nuggests

4、theHarvester地址  https://github.com/laramies/theHarvester


点击全文阅读


本文链接:http://m.zhangshiyu.com/post/37891.html

搜索关键字  大于  语法  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

最新文章

  • 她的记忆停留在了最爱初恋的那年许欣柔楚临川完本_她的记忆停留在了最爱初恋的那年(许欣柔楚临川)
  • 全书浏览假千金的实习生男友霸占我办公室,我反手让他们倾家荡产(顾家明)_假千金的实习生男友霸占我办公室,我反手让他们倾家荡产(顾家明)全书结局
  • 童养夫让我给他的新欢出修复费(林嘉芝林思雅)_童养夫让我给他的新欢出修复费林嘉芝林思雅
  • 全文资助生女婿让我给他白月光付三千万月子中心钱(宋清玉宋雅)列表_全文资助生女婿让我给他白月光付三千万月子中心钱
  • 碎在时光里的谎言喻景宴秦明月完本_碎在时光里的谎言(喻景宴秦明月)
  • 旧爱剜心吻成灰席鄢之岑秋全书免费旧爱剜心吻成灰席鄢之岑秋全书免费
  • 结婚六年丈夫不碰我谁知儿子亲爹是寡头(纪清言傅司砚),结婚六年丈夫不碰我谁知儿子亲爹是寡头
  • 老公想换掉我的男胎,我笑他自不量力(宋薇于继业)_老公想换掉我的男胎,我笑他自不量力宋薇于继业
  • 给太子下了噬心蛊后,皇后找上门(小夭赵劼)全书浏览_给太子下了噬心蛊后,皇后找上门全书浏览
  • 豪门绝嗣!带球跑的夫人回来了!(谢长宴慕清杳)_豪门绝嗣!带球跑的夫人回来了!谢长宴慕清杳
  • 完美身材(李朵林之晴)_完美身材李朵林之晴
  • 离婚后,我和快穿系统绑定(白意秋陈荣周立慧)_离婚后,我和快穿系统绑定(白意秋陈荣周立慧)

    关于我们 | 我要投稿 | 免责申明

    Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1