敏感信息收集

最新推荐文章于 2024-06-11 13:32:59 发布
最新推荐文章于 2024-06-11 13:32:59 发布
阅读量2.1k 收藏 12
点赞数
分类专栏: 信息收集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46684578/article/details/119038525
版权

敏感信息收集

为什么要进行敏感信息收集

某些网站的安全做的很好,直接通过技术层面无法完成渗透。因此就要搜索暴露在互联网上的信息。如:数据库文件,SQL注入,服务器配置信息,甚至通过Git找到站点的源代码,以及Redis等未授权访问、robots.txt敏感信息等

提到敏感信息收集,我们可以用google hack 的方法,原理就是匹配关键字。其实下面介绍的Github收集敏感信息,也属于google hack的应用

一般我们会收集到用户名密码,邮箱,源代码等信息。可以用来撞库,登录某些管理后台,从代码角度分析漏洞

1. google hack 语法

要学会利用下面这个数据库(记录了很多的漏洞,探测过程)

Google Hacking Database:https://www.exploit-db.com/google-hacking-database

查询access数据库:filetype:mdb “standard jet” (password | username | user | pass)

google hack语法

关键字含义
site搜索指定域名
inurl搜索url中指定关键字 inurl:admin.php
intext搜索网页中包含的关键字 intext:登录页面
filetype搜索指定文件类型 filetype:jsp
intitle网页标题信息
link搜索被连接的网站 link:baidu.com 哪些与百度进行了连接
info指定搜索网页信息

2. GITHUB敏感信息收集

在渗透测试的信息收集阶段,可以去Github和码云上搜索与目标有关的信息,或者就有意想不到的收获。(有些开发人员将代码上传到代码库的时候,有可能连一些重要的配置信息也上传了)

建议用google

邮件配置信息

很多网站及系统都会使用pop3(邮局协议版本3,默认端口110)和smtp(电子邮件传输协议,默认端口号25)发送来邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google搜索命令语句,构造一下关键字,就能把这些信息给找出来了。

site:Github.com stmp
site:Github.com stmp @qq.com
site:Github.com stmp @126.com
site:Github.com stmp @163.com
site:Github.com stmp @sina.com.cn
site:Github.com stmp password
site:Github.com String password smtp

一般不同厂商的邮件地址会不同,我们可以灵活构造
site:Github.com smtp @baidu.com
数据库信息
site:Github.com sa password 
site:Github.com root password
site:Github.com User ID='sa';password
site:Github.com inurl:sql
SVN信息

SVN:源代码版本管理软件。

若能登录源代码管理软件,就可以对源代码进行分析

site:Github.com svn
site:Github.com svn username
site:Github.com svn password
site:Github.com svn username password
综合信息收集
site:Github.com password
site:Github.com ftp ftppassword
site:Github.com 密码
site:Github.com 内部

git敏感信息利用

搭建git环境

service apache2 start

service apache2 status

git init #在var/www/html/ 目录下,初始化git仓库

ls -a #显示此目录下所有文件,发现有.git文件

请添加图片描述

然后在浏览器输入127.0.0.1/git_test/.git/。(要关闭浏览器的代理)攻击者就可以利用此方式查看敏感敏感信息

请添加图片描述

git add flag.txt #要在.git 目录下执行

git commit -m “ver1.0” #在执行此命令之前要 在.git/config文件下配置 email 和 name

请添加图片描述

git信息泄露利用

利用GitHack工具,下载别人GitHub仓库里的上传文件

  1. 下载GitHack.git https://github.com/lijiejie/GitHack.git

    git clone https://github.com/lijiejie/GitHack.git

  2. 下载目标文件

    python GitHack.py http://192.168.1.105/.git/

  3. cd 192.168.1.105

  4. cat flag.txt
    请添加图片描述

Buffedon
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透测试之敏感信息收集
weixin_68057794的博客
09-09 1877
渗透测试之敏感信息收集
网络犯罪分子通过社交媒体收集企业敏感信息
亚信安全-云安全博客
03-06 1245
庞大到媒体帝国,平民至便利商店,每家公司都纷纷将自己推到网络上,用最快也最具成本效益的方式来接触他们的客户。这是社交网络所带来的好处,也是企业们驻足的原因。但你知道社交网络对企业是有风险的吗?不管规模大小。 关于社交网络,中小企业应该知道的五件事 事实一 各种规模、类型的企业都在使用社交媒体。 并不只有大企业才使用社交媒体,小企业也会。在美国,大多数(58%)中小企
【网络安全学习】-05- 敏感信息收集
Zane的博客
06-11 869
如何进行敏感信息收集
信息收集之Github搜索语法搜集敏感信息
weixin_50464560的博客
08-09 1081
目录 使用 Github 进行邮件配置信息收集 使用Github进行数据库信息收集 使用Github进行 SVN 信息收集 使用Github进行综合信息收集 在渗透测试的信息收集阶段,可以去Github和码云上搜索与目标有关的信息,或者就有意想不到的收获。(有些开发人员将代码上传到代码库的时候,有可能连一些重要的配置信息也上传了) 想要看完整的点击这里:github完整的搜索语法文档......
03、收集敏感信息
qq_42053222的博客
04-14 487
(1)搜索JAWS/1.1摄像头。我们尝试搜索一些学校网站的后台,语法为site:“edu.cn” intext:“后台管理”, 意思是搜索网页正文中含有“后台管理”并且域名后缀是edu.cn的网站,搜索结果如图所示。除此之外,也可以尝试在GitHub 上寻找相关敏感信息,如数据库连接信息、邮箱密码、uc-key 、阿里的osskey,有时还可以找到泄露的源代码等。此处提到的敏感信息主要包括:数据库文件、SQL注入、配置信息(server及PHP版本等)、源代码泄露、未授权访问和robots.txt等。
网络安全之信息收集/打点技术
北冥同学的成长记录笔记
07-09 1227
《孙子兵法》中写道:知己知彼,百战不殆。信息收集是网络攻击或是渗透测试中的第一步,也是最关键的阶段,同时也是耗费时间最长的阶段。换句话说:渗透测试/网络攻击的本质就是信息收集
22-21.渗透测试-敏感信息收集web源代码泄露.mp4
05-10
22-21.渗透测试-敏感信息收集web源代码泄露.mp4
第三节 收集敏感信息-01
09-15
第一部分:敏感信息收集重要性 在渗透测试中,收集敏感信息是非常重要的。通过搜索引擎搜索目标暴露在互联网上的关联信息,可以找到数据库文件、SQL 注入、服务器配置信息、甚至是通过 Git 找到站点泄露源代码、...
App敏感信息探测tools
最新发布
06-27
App敏感信息探测是网络安全领域的一个重要课题,旨在发现并保护用户数据免受非法获取和滥用。本文将深入探讨App敏感信息探测的相关知识点,包括其意义、方法、工具和技术挑战。 一、App敏感信息探测的意义 1. 用户...
基于负调查的敏感信息收集方法及其启用之计算机研究.docx
10-01
本文档主要探讨了基于负调查的敏感信息收集方法在计算机科学中的应用,特别是在隐私保护方面的重要性。负调查是一种借鉴生物免疫系统理念的信息隐藏和隐私保护技术,它能够在保护个人敏感信息的同时,有效地进行信息...
24-23.渗透测试-敏感信息收集历史漏洞收集+工具信息收集.mp4
05-10
24-23.渗透测试-敏感信息收集历史漏洞收集+工具信息收集.mp4
GithubMonitor-GitHub敏感信息监控脚本
09-14
GitHub敏感信息监控脚本,通过检索GitHub的搜索结果关键字来发现敏感信息,降低程序员GitHub项目上泄露敏感信息的可能性。
敏感信息采集-前后端处理
08-31 441
项目的开发接近最后的2个月,前几天有个需求需要采集敏感信息,企业和个人的一些信息,为了保护数据安全。我们前后端分别做了处理,本来老大打算只对value进行加密,但是那样的话,就需要一行行代码去加解密,太麻烦了,于是我就提了提建议,前台封装成对象去加密,后台直接转处理。 我:“老大,这...
敏感信息泄露
jpygx123的博客
10-16 7523
默认账户 通用性web程序有默认的管理员用户或者测试用户,才应用上线时没有进行清除导致第三方可以直接登录,进行一些操作。 数据库软件。 集成开发环境。 CMS内容管理系统。 路由器管理界面。 摄像头管理界面。等 实例: echop在默认安装的时候,安装程序会默认添加两个管理员账户。 后台/服务对公开发 后台地址泄露 后台地址被爆破 后台未做授权 敏感服务未做访问限制,可以直接访问 实例: ...
web渗透的信息收集
qq_45584159的博客
12-15 2989
文章目录信息收集域名信息收集网站指纹识别服务器类型(Linux/Windows)网站容器(Apache/Nginx/Tomcat/IIS脚本类型(php/jsp/asp/aspx)数据库类型(Mysql/Oracle/Accees/Mqlserver)常见搭配:端口扫描(nmap)网站敏感目录和文件旁站和C段扫描网站漏洞扫描 信息收集 信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测。正所谓,知己知彼百战百胜! 信息收集的..
公司敏感信息收集-Git信息泄漏漏洞与GitHack使用方法
易编橙 · 终身成长社群,相遇已是上上签!
12-21 1403
文章目录“.git”泄漏漏洞与危害Git信息泄露原理GitHack的使用方法 Git是一个开源的分布式版本控制系统,能够有效的实现对软件版本的控制。版本控制是软件研发过程中项目的开发与管理的标准做法,能够追踪项目从开始到结束的整个过程,对企业的研发技术团队来说,是团队协作的桥梁,有助于团队多人协同。 然而在代码发布的时候,存在操作不规范的情况下可能会将代码泄漏出去,这时候攻击者就可以利用泄漏的代码信息进行白盒代码审计,发现其中存在的漏洞。甚至有的代码中会存储服务器、邮箱、数据库的配置链接信息,那么攻击者在获
信息搜集-敏感信息泄露
小刚的博客
10-20 2276
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 信息泄露敏感信息作用1.robots.txt2. .git敏感文件3.物理路径泄露4.报错页面敏感信息泄漏5.备份文件泄露6.目录浏览7.其他乱七八糟总结 敏感信息 什么是敏感信息敏感信息包括但不限于:口令、密钥、证书、会话标识、License、隐私数据、授权凭据、个人数据等、程序文件、配置文件、日志文件、备份文件等 敏感信息相当的重要,如果能发现大量敏感信息你就是赚了。当然还是要介绍一下每.
敏感目录收集工具
afei001
03-12 805
敏感目录收集 mysql管理接口 后台目录 上传目录 phpinfo robots.txt---->列出防爬行目录 安装包 安装页面---->index.php 爬行 Cracer渗透工具包6.0下载链接:https://pan.baidu.com/s/1ac-t-EMrl89aGJMm3pYS5w 密码:a8f1 1.御剑后台目录扫描     御剑是一款好用的网站后台扫描工具,图...
信息搜集学习--在线工具学习
Grey的博客
05-16 2628
这件事就要从查我信息的表哥说起了刚到实验室的时候没几天,无聊扫实验室的ip,本来是想找摄像头端口的,然是让我发现了一个ip开放着8000,饶有兴致的打开了他,发现是一个网站目录,我就下了些里面的文件,当天的晚上竟然被表哥查到了个人信息和班级。第一次感觉都信安实验室的表哥都不是吃素的,后面表哥们参加defcon的时候我就只能膜拜了。这几天问了下表哥才知道是怎样社工我的首先从日志里查看是谁下载了文件发...
在渗透测试过程中是如何敏感信息收集
03-24
在渗透测试过程中,敏感信息收集通常包括以下几个方面:网络拓扑结构、操作系统、应用程序、服务、端口、协议、用户名、密码、配置文件等。渗透测试人员可以通过端口扫描、漏洞扫描、社会工程学等手段来获取这些信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Buffedon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值