第21天:信息打点-公众号服务Github监控供应链网盘泄漏证书图标邮箱资产

news2024/12/23 22:29:13

第二十一天

Untitled

一、开发泄漏-Github监控

1.短期查看

1.密码搜索

根据攻击目标的域名在GitHub上进行搜索密码,如果目标网站的文件与搜索到的源码相关,那就可以联想目标网站是否使用这套源码进行开发

  • 原理就是开发者在上传文件的时候忘记更改敏感文件或者打包上传的时候没有修改敏感信息
1.将可能包含源码的项目下载使用code软件打开

image-20240331183905761

2.对关键词敏感词进行搜索

image-20240331184127827

域名+password+in:file		//in:file是为了控制搜索类型
baidu.com password in:file		//例子

2.邮箱搜索

根据攻击目标官网披露的邮箱在GitHub上进行搜索密码,如果目标网站的文件与搜索到的源码相关,那就可以联想目标网站是否使用这套源码进行开发

1.将可能包含源码的项目下载使用code软件打开

image-20240331184713466

邮箱+password in:file		//in:file是为了控制搜索类型
IceCream@162.com password in:file		//例子

3.关键字配合谷歌搜索
site:Github.com smtp  
site:Github.com smtp @qq.com  
site:Github.com smtp @126.com  
site:Github.com smtp @163.com  
site:Github.com smtp @sina.com.cn 
site:Github.com smtp password 
site:Github.com String password smtp 

2.语法固定长期后续监控新泄露

  • 原理:基于关键字监控、基于项目规则监控
1.项目一

项目地址:https://github.com/Explorer1092/Github-Monitor

1.搭建环境

2.新建任务,输入关键词语法

3.选择匹配模式和爬取时间设置

4.配置这个项目之后,只要系统一直开机联网就能一直爬取数据,能够一直监控GitHub上的项目


2.项目二

项目地址:https://github.com/madneal/gshark 特点:可以针对一个或者多个项目进行监控

1.搭建环境


3.项目三

项目地址:https://github.com/NHPT/FireEyeGoldCrystal


3.GITHUB资源搜索

in:name test		//仓库标题搜索含有关键字
in:descripton test		//仓库描述搜索含有关键字
in:readme test		//Readme文件搜素含有关键字
stars:>3000 test		//stars数量大于3000的搜索关键字
stars:1000…3000 test		//stars数量大于1000小于3000的搜索关键字 
forks:>1000 test		//forks数量大于1000的搜索关键字
forks:1000…3000 test		//forks数量大于1000小于3000的搜索关键字 
size:>=5000 test		//指定仓库大于5000k(5M)的搜索关键字 
pushed:>2019-02-12 test		//发布时间大于2019-02-12的搜索关键字 
created:>2019-02-12 test		//创建时间大于2019-02-12的搜索关键字 
user:test		//用户名搜素
license:apache-2.0 test		//明确仓库的 LICENSE 搜索关键字 
language:java test		//在java语言的代码中搜索关键字
user:test in:name test		//组合搜索,用户名test的标题含有test的

二、文件泄漏-网盘全局搜索

没有办法的办法,纯属碰运气

主要就是查看网盘中是否存有目标的敏感文件

如:企业招标,人员信息,业务产品,应用源码等

APP:深度搜索

EXE:百度搜索还在维护的软件


三、架构泄漏-目录扫码&爬虫

网站目录扫描,有路由的扫描不了,手法太老容易被阻断


四、其他泄漏-公众号服务资产

1.通过爱企查去搜索目标的知识产权查看名下是否有公开的公众号

image-20240331175518006

2.通过搜狗搜索去看目标是否开了公众号

image-20240331175405837

3.有些公众号的服务是具有跳转性质的,跳转到的第三方服务的网址就是需要收集的资产

五、收集进阶-证书&图标&邮箱

1.证书收集

1.FOFA搜索
cert="域名"
cert="sziit.edu.cn"		//例子
2.Quake
cert="域名"
cert="sziit.edu.cn"		//例子
3.Hunter
cert="域名"
cert="sziit.edu.cn"		//例子

这种搜索方法的目的就是搜索出使用相同证书的网站,这样扩大信息收集网站的面积

2.ICO图标收集

一般直接使用F12在源码中下载

1.FOFA搜索

下载完ICO文件之后直接在FOFA中上传进行搜索

2.Quake

下载完ICO文件之后直接在Quake中上传进行搜索

3.Hunter

下载完ICO文件之后直接在Hunter中上传进行搜索

这种搜索方法的目的就是搜索出使用图标的网站,这样扩大信息收集网站的面积

3.邮箱资产收集

网址:https://hunter.io/

通过域名和邮箱去发现,邮箱可以尝试使用弱口令爆破进行登陆


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1605334.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Arduino源代码(ino)在Proteus中调试总结

一、前言 基于BluePill Plus开发板(该板是毕设网红板) BluePill Plus / WeAct Studio 微行工作室 出品 BluePill-Plus/README-zh.md at master WeActStudio/BluePill-Plus GitHub 首页-WeAct Studio-淘宝网 (taobao.com) 在Proteus中对应的例子是&…

解决vue启动项目报错:npm ERR! Missing script: “serve“【详细清晰版】

目录 问题描述问题分析和解决情况一解决方法情况二(常见于vue3)解决方法情况三解决方法 问题描述 在启动vue项目时通常在控制台输入npm run serve 但是此时出现如下报错: npm ERR! Missing script: "serve" npm ERR! npm ERR! T…

优思学院|分析过程能力Cpk时出现双峰是什么原因?

当你在分析过程能力指数Cpk时,遇到了数据分布呈现出双峰的情况,这通常意味着什么呢?让我们一探究竟。 在统计分析中,如果一个数据集中的频率分布图显示出两个明显的峰值,这种现象被称为双峰分布。这意味着数据可能来源…

vim相关指令

vim的各种模式及其转换关系图 vim 默认处于命令模式!!! 模式之间转换的指令 除【命令模式】之外,其它模式要切换到【命令模式】,只需要无脑 ESC 即可!!! [ 命令模式 ] 切换至 [ 插…

pyskl手势/动作识别的实现与pytorch cuda环境部署保姆教程

恭喜你,找到这篇不需要翻墙就能够成功部署的方法。在国内布置这个挺麻烦的,其他帖子会出现各种问题不能完全贯通。便宜你了。。 实话5年前我用1080训练过一个基于卷积和ltsm的手势识别,实话实说感觉比现在效果好。是因为现在的注意力都在tra…

CSS基础常用属性之颜色(如果想知道CSS的颜色知识点,那么只看这一篇就足够了!)

前言:在我们学习CSS的时候,主要学习选择器和常用的属性,而这篇文章讲解的就是最基础的属性——颜色。 ✨✨✨这里是秋刀鱼不做梦的BLOG ✨✨✨想要了解更多内容可以访问我的主页秋刀鱼不做梦-CSDN博客 目录 1.颜色属性 【1】使用颜色关键词表…

JVM修炼之路【10】- 垃圾回收器和垃圾回收算法

垃圾回收算法 我们先简要看一下 四种主要的垃圾回收算法 看到这不禁感慨一下 人家1960年 都搞出GC算法了 太强了 评价标准 既然有这么多算法 那就跟各个牌子的游戏本一样 有个比较,这里我们重点介绍一下 垃圾回收算法的评价标准 这几个标准非常重要是 是后面理解很…

python基础——类【类的定义和使用、魔术方法】

📝前言: python中的类,自我感觉在某种程度上和C语言的结构体是有共同之处的,如果有兴趣,可以先看看这篇文章:C语言——结构体类型(一),先了解一下C语言中的结构体&#x…

Linux debian gdb dump

1.开发背景 记录 debian 下应用程序崩溃调试方法 2.开发需求 程序越界可以定位到越界的位置附近 3.开发环境 debian 操作系统,如果不支持需要查看是否存在对应的可执行文件 4.实现步骤 4.1 设置 dump 输出大小 ulimit -c unlimited # 设置输出大小 生成core 文…

算力租赁还能如此便宜?怎么现在才告诉我!

作为拥有几年炼丹经验的“炼丹侠”,总会遇到这样的问题:入手过超贵的显卡,性能不稳定,还不能及时更新适配!传输速度慢,算力不稳定,大大影响任务执行效率!数据存储费用高,…

基于FPGA的OMEGA东京奥运会计时器

截至2019年共举办了31届奥运会,其中27届的计时设备都由欧米茄(OMEGA,Ω)提供,今年的东京奥运会将会是第28届。 瑞士计时公司(Swiss Timing)基于火星Mars ZX2核心板打造了为奥运会等大型体育赛事…

支付宝支付之SpringBoot整合支付宝创建自定义支付二维码

文章目录 自定义支付二维码pom.xmlapplication.yml自定义二维码类AlipayService.javaAlipayServiceImpl.javaAlipayController.javaqrCode.html 自定义支付二维码 继&#xff1a;SpringBoot支付入门 pom.xml <dependency><groupId>org.springframework.boot<…

批量人脸画口罩

网上参考的修改了一下&#xff0c;图片放在根目录&#xff0c;命名叫做1.png&#xff0c;批量人脸画口罩 这个程序的目的是为了解决人脸数据集中的特征点缺失的不足 # -*- coding: utf-8 -*- import os import numpy as np from PIL import Image, ImageFile__version__ 0.3…

前端请求404,后端保无此方法

1、微信小程序前端路径404 2、后端报无此路径 3、查看路径下对应的方法 发现忘了在list方法前加GetMapping(“/list”)&#xff0c;加上即可

中伟视界:智慧矿山智能化预警平台功能详解

矿山智能预警平台是一种高度集成化的安全监控系统&#xff0c;它能够提供实时的监控和报警功能&#xff0c;帮助企业和机构有效预防和响应潜在的安全威胁。以下是矿山智能预警平台的一些关键特性介绍&#xff1a; 报警短视频生成&#xff1a; 平台能够在检测到报警时自动生成短…

6.C++:继承

一、继承 //1.类中的保护和私有在当前类中没有差别&#xff1b; //2.在继承后的子类中有差别&#xff0c;private在子类中不可见&#xff0c;所以用protected&#xff1b; class person { public:void print(){cout << "name:" << _name << endl;c…

④【Shiro】Shiro框架进行敏感信息加密

个人简介&#xff1a;Java领域新星创作者&#xff1b;阿里云技术博主、星级博主、专家博主&#xff1b;正在Java学习的路上摸爬滚打&#xff0c;记录学习的过程~ 个人主页&#xff1a;.29.的博客 学习社区&#xff1a;进去逛一逛~ ④【Shiro】Shiro框架进行敏感信息加密 实际系…

分布式调度器timer和spring task

1. Timer&#xff08;了解&#xff09; 一、Timer使用方式 Task1 public class Task1 extends TimerTask {Overridepublic void run(){System.out.println("com.aware.Task run");} } Task2 public class Task2 extends TimerTask {Overridepublic void run(){…

如何判断软件测试公司报告是否权威

在当今数字化浪潮中&#xff0c;软件测试报告已成为评估软件性能、确保用户体验、发掘潜在问题的关键所在。然而&#xff0c;面对众多软件测试公司及其纷繁复杂的报告&#xff0c;如何洞察其权威性成为一项亟待解决的任务。本文旨在探讨如何精准判别软件测试公司报告的权威性&a…

React Ant Design 简单实现如何选中图片

效果&#xff1a; 代码&#xff1a; 定义的初始值和方法 const [selected, setSelected] useState(0); // 表示当前选中的图片索引const handleClick (index) > {if (selected index) {setSelected(null); // 如果点击的是已选中的图片&#xff0c;则取消选中状态} else…