LEAKEY是一款功能强大的Bash脚本,该脚本能够检测和验证目标服务中意外泄露的敏感凭证,以帮助广大研究人员检测目标服务的数据安全状况。值得一提的是,LEAKEY支持高度自定义开发,能够轻松添加要检测的新服务。
LEAKEY主要针对的是渗透测试和红队活动中涉及到的API令牌和密钥,对于漏洞Hunter来说,该工具也同样可以提供有效的帮助。
LEAKEY使用了一个基于JSON的签名文件,文件路径为“~/.leakey/signatures.json”。LEAKEY可以通过这个签名文件来加载新的服务或检测列表,如果你想要添加更多的检测目标或服务,可以直接将其追加到signatures.json文件中即可。
jq
curl安装
curl https://raw.githubusercontent.com/rohsec/LEAKEY/master/install.sh -o leaky_install.sh && chmod +x leaky_install.sh && bash leaky_install.sh源码安装
广大研究人员还可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/rohsec/LEAKEY.git然后切换到项目目录中,执行工具安装脚本即可:
cd LEAKEY./ install.sh
工具安装完成之后,我们就可以直接在命令行终端中运行下列命令来执行LEAKEY:
leakyLEAKEY支持的所有检测都在签名文件signatures.json中定义了,如需添加新的检测目标或服务,可以直接按照下列数据格式在签名文件signatures.json中追加新的目标:
{"id": 0,"name": "Slack API Token","args": ["token"],"command": "curl -sX POST "https://slack.com/api/auth.test?token=xoxp-$token&pretty=1""}
LEAKEY:
https://github.com/rohsec/LEAKEY
原文始发于微信公众号(FreeBuf):如何使用LEAKEY轻松检测和验证目标服务泄露的敏感凭证
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论