GitHub信息泄露监控

admin 2023年5月29日08:50:18评论29 views字数 2225阅读7分25秒阅读模式

文章前言

GitHub作为开源代码平台,给程序员提供了交流学习的地方,提供了很多便利,但如果使用不当,比如将包含了账号密码、密钥等配置文件的代码上传了,导致攻击者能发现并进一步利用这些泄露的信息进行攻击测试,这便是一个典型的GitHub敏感信息泄露漏洞。而本篇文章将介绍一款实用性较强的GitHub敏感信息收集利器——GSIL。

环境搭建

下载安装包

首先前往GitHub下载GSIL项目(地址:https://github.com/FeeiCN/GSIL)

GitHub信息泄露监控

之后解压到自己指定的文件夹目录下面:

GitHub信息泄露监控

安装依赖库

之后安装第三方依赖库(注意这里需要使用Python3环境来运行该项目):

GitHub信息泄露监控

pip3 install -r requirements.txt

GitHub信息泄露监控

修改配置文件
config.gsil

之后便是修改配置文件,在这里我们需要自我注册2个新的QQ或者163或者其他的邮箱用来发送邮件和接受邮件,下面以QQ邮箱为例演示配置流程,首先我们先来看一下GSIL提供的默认的配置文件:

[mail]host : smtp.exmail.qq.com  port : 465mails : [email protected]from : GSILpassword : your_passwordto : [email protected]cc : [email protected]
[github]clone : falsetokens : your_github_token

上面的mail中的host为邮件服务器的host地址,port为端口号,mails为你的邮件地址(发送邮件),password为授权码,具体获取方式如下:

设置——》账户,在该页面中找到如下界面

GitHub信息泄露监控

之后点击开启POP3/SMTP服务并进行密保验证:

GitHub信息泄露监控

之后即可获得你的授权码

GitHub信息泄露监控

to这是配置接受邮件的邮箱地址,cc则是邮件抄送的接受地址,这里cc建议和to配置一样,如果有多个用户在用的话可以抄送多个~

最后则是GitHub的配置了,这里我们需要生成一个GitHub的token,具体流程如下:

访问如下链接:https://github.com/settings/tokens

GitHub信息泄露监控

输入密码进行验证

GitHub信息泄露监控

之后填写个人Access Token选项:

GitHub信息泄露监控

之后点击生成Token即可查看该Token:

GitHub信息泄露监控

最后完成配置文件如下:

[mail]host : smtp.qq.comport : 465mails : 21*****[email protected]from : GSILpassword : zqbixxxxxxxhto : h****[email protected]cc : h****[email protected]
[github]clone : falsetokens : cef****************************ad7
rules.gsil.example

该文件主要用于配置搜索规则,下面为官方给出的一个配置规则说明实例,用户可以更具需求来进行配置:

GitHub信息泄露监控

{    # usually using the company name, used as the first parameter to open the scan(Example:`python gsil.py test`)    "test": {        # General use of product name        "mogujie": {            # Internal domain name of the company            ""mogujie.org"": {                # mode/ext options no need to configure by default                "mode": "normal-match",                "ext": "php,java,python,go,js,properties"            },            # Company code's characteristic code            "copyright meili inc": {},            # Internal host domain name            "yewu1.db.mogujie.host": {},            # External mailbox            "mail.mogujie.com": {}        },        "meilishuo": {            "meilishuo.org": {},            "meilishuo.io": {}        }    }}

实战操作

下面以OSS存储桶为例来搜索GitHub中泄露的OSS存储桶账户密码信息,首先我们跟新配置规则如下:

{    "oss": {        "oss": {            "AccesskeySecret AccessKeyId oss": {                "mode": "normal-match",                "ext": "php,java,python,go,js,properties"            }        }    }}

之后我们查看一下GitHub的token是否可以使用(如果不可以使用则使用之前介绍的流程重新生成一个token即可)

GitHub信息泄露监控

之后使用Python3运行该项目并且添加搜索配置的名称,之后就开始调用GitHub的相关查询接口来更具搜索匹配规则来进行匹配查询信息:

GitHub信息泄露监控

GitHub信息泄露监控

之后你会在你之前配置文件中配置的接受邮箱中收到查询到的信息:

GitHub信息泄露监控

之后查看邮箱详情即可看到相关的OSS链接敏感信息

GitHub信息泄露监控

点击链接即可查看GitHub中的源文件信息

GitHub信息泄露监控

之后使用oss-browser来链接看看:

GitHub信息泄露监控

发现可以成功接入并且可以查看敏感信息

GitHub信息泄露监控

还有其他的就不一一列举了,总之这款工具还是挺强大的~

PS:在默认情况下该工具只会再搜素结果中匹配前200项的内容,但我们可以修改文件来更改搜索的范围页数等

GitHub信息泄露监控

参考链接

https://feei.cn/gsil/

https://github.com/FeeiCN/GSIL

原文始发于微信公众号(七芒星实验室):GitHub信息泄露监控

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月29日08:50:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   GitHub信息泄露监控https://cn-sec.com/archives/1769284.html

发表评论

匿名网友 填写信息