寻找API Keys|Access Key|token的GitHub搜索语法

0x0前言

作为一名安全专业人员，进行彻底的侦察是非常重要的。随着API的广泛使用，保持访问令牌和其他与API相关的机密信息的安全性变得至关重要。然而，尽管技术进步，但人为错误仍然是一个因素，许多开发人员仍然会无意中将他们的API机密信息硬编码到源代码中并提交到公共存储库中。GitHub作为一个广泛流行的公共代码存储平台，可能会不经意地托管这些泄露的机密信息。为了帮助识别这些漏洞，我已经创建了一个全面的搜索列表，使用强大的搜索语法，可以在单个搜索中搜索数千个泄露的密钥和机密信息。公众号后台回复"密钥搜索"直接获取各类泄露的"Access Key"。例如OpenAI，谷歌云等

0x1搜索语法

(path:*.{File_extension1} OR path:*.{File_extension-N}) AND ({Keyname1} OR {Keyname-N}) AND (({Signature/pattern1} OR {Signature/pattern-N}) AND ({PlatformTag1} OR {PlatformTag-N}))

让我们来详细解释这段搜索语法 他可以直接在github上进行搜索

1. (path:*.{File_extension1} OR path:*.{File_extension-N}): 这部分是用于指定文件路径或扩展名的条件。它使用了通配符*，表示匹配所有路径，然后使用{File_extension1}到{File_extension-N}来列举多个文件扩展名。这意味着搜索将包括所有具有这些文件扩展名的文件。

2. ({Keyname1} OR {Keyname-N}): 这部分用于指定关键字或关键词的条件。它列举了多个关键词，包括{Keyname1}到{Keyname-N}。搜索将包括包含这些关键词的文件或数据。

3. (({Signature/pattern1} OR {Signature/pattern-N}) AND ({PlatformTag1} OR {PlatformTag-N})): 这是一个更复杂的条件，它包括两个部分。首先，({Signature/pattern1} OR {Signature/pattern-N}) 表示要搜索的文件应该包含 {Signature/pattern1} 到 {Signature/pattern-N} 中的至少一个签名或模式。其次，({PlatformTag1} OR {PlatformTag-N}) 表示文件应该包含 {PlatformTag1} 到 {PlatformTag-N} 中的至少一个平台标签

举个栗子

(path:*.xml OR path:*.json OR path:*.properties OR path:*.sql OR path:*.txt OR path:*.log OR path:*.tmp OR path:*.backup OR path:*.bak OR path:*.enc OR path:*.yml OR path:*.yaml OR path:*.toml OR path:*.ini OR path:*.config OR path:*.conf OR path:*.cfg OR path:*.env OR path:*.envrc OR path:*.prod OR path:*.secret OR path:*.private OR path:*.key) AND (access_key OR secret_key OR access_token OR api_key OR apikey OR api_secret OR apiSecret OR app_secret OR application_key OR app_key OR appkey OR auth_token OR authsecret) AND (AIza AND Google)

上面这段搜索语法用于搜索github上的敏感密钥，请看下面的图，分别为谷歌云和openAi的密钥泄露

可以看到，我通过语法已经搜索到了谷歌云和openAI的密钥，而且数量很大。

0x2思路拓展

上面的栗子只是抛砖引玉。利用场景可以是各大云AK的特征。不管是谷歌云，腾讯云，阿里云等各种云，都会有Access Key（AK），而经过笔者测试，GitHub上暴露了许多各大厂商的AK，相信各位师傅已经有了某些一键打穿云上内网的工具。