敏感信息提取工具 URLFinder-x

admin 2025年2月10日13:51:03评论31 views字数 3017阅读10分3秒阅读模式
0x01 工具介绍

URLFinder-x是一个优化后的URLFinder工具,通过对URLFinder代码的简单重构。将粗略的完成部分灯塔的 WebInfoHunter功能与URLFinder进行融合。它能够通过自定义的正则表达式对网页中的各种敏感信息进行提取。这个工具不仅可以匹配到手机号、邮箱、身份证号等个人信息,还可以检测到JWT(JSON Web Token)、accesskey、Webhook URL以及内网IP地址等多种类型的敏感数据。此外,使用者还可以添加针对阿里云、腾讯云和亚马逊云等服务提供商的API密钥规则。

0x02 安装与使用

敏感信息提取工具  URLFinder-x

proxy: ""timeout: 5thread: 50urlSteps: 1jsSteps: 3max: 99999headers:    Accept: '*/*'    Cookie: ""    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36 SE 2.X MetaSr 1.0jsFind:    - (https{0,1}:[-a-zA-Z0-9()@:%_+.~#?&//=]{2,250}?[-a-zA-Z0-9()@:%_+.~#?&//=]{3}[.]js)    - '["''‘“`]s{0,6}(/{0,1}[-a-zA-Z0-9()@:%_+.~#?&//=]{2,250}?[-a-zA-Z0-9()@:%_+.~#?&//=]{3}[.]js)'    - =s{0,6}[",',’,”]{0,1}s{0,6}(/{0,1}[-a-zA-Z0-9()@:%_+.~#?&//=]{2,250}?[-a-zA-Z0-9()@:%_+.~#?&//=]{3}[.]js)urlFind:    - '["''‘“`]s{0,6}(https{0,1}:[-a-zA-Z0-9()@:%_+.~#?&//={}]{2,250}?)s{0,6}["''‘“`]'    - =s{0,6}(https{0,1}:[-a-zA-Z0-9()@:%_+.~#?&//={}]{2,250})    - '["''‘“`]s{0,6}([#,.]{0,2}/[-a-zA-Z0-9()@:%_+.~#?&//={}]{2,250}?)s{0,6}["''‘“`]'    - '"([-a-zA-Z0-9()@:%_+.~#?&//={}]+?[/]{1}[-a-zA-Z0-9()@:%_+.~#?&//={}]+?)"'    - hrefs{0,6}=s{0,6}["'‘“`]{0,1}s{0,6}([-a-zA-Z0-9()@:%_+.~#?&//={}]{2,250})|actions{0,6}=s{0,6}["'‘“`]{0,1}s{0,6}([-a-zA-Z0-9()@:%_+.~#?&//={}]{2,250})infoFiler:    Email:        - '(([^<>()[]\.,;:s@"]+(.[^<>()[]\.,;:s@"]+)*)|(".+"))@(([[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}])|(([a-zA-Z-0-9]+.)+[a-zA-Z]{2,}))'    IDcard:        - '[1-9]d{5}(?:18|19|20)d{2}(?:0[1-9]|10|11|12)(?:0[1-9]|[1-2]d|30|31)d{3}[dXx]'    Jwt:        - '[''"](ey[A-Za-z0-9_-]{10,}.[A-Za-z0-9._-]{10,}|ey[A-Za-z0-9_/+-]{10,}.[A-Za-z0-9._/+-]{10,})[''"]'    Other:        - '(access.{0,1}key|access.{0,1}Key|access.{0,1}Id|access.{0,1}id|.{0,5}密码|.{0,5}账号|默认.{0,5}|加密|解密|password:.{0,10}|username:.{0,10})'    Phone:        - '(?:(?:+|00)86)?1(?:(?:3[d])|(?:4[5-79])|(?:5[0-35-9])|(?:6[5-7])|(?:7[0-8])|(?:8[d])|(?:9[01256789]))d{8}'    ip:        - '(?:10.d{1,3}.d{1,3}.d{1,3})|(?:172.(?:(?:1[6-9])|(?:2d)|(?:3[01])).d{1,3}.d{1,3})|(?:192.168.d{1,3}.d{1,3})'    jdbc:        - '(jdbc:[a-z:]+://[a-z0-9.-_:;=/@?,&]+)'    swaggerui:        - '((swagger-ui.html)|("swagger":)|(Swagger UI)|(swaggerUi)|(swaggerVersion))'    webhook:        - 'bhttps://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=[a-zA-Z0-9-]{25,50}b'        - 'bhttps://oapi.dingtalk.com/robot/send?access_token=[a-z0-9]{50,80}b'        - 'bhttps://open.feishu.cn/open-apis/bot/v2/hook/[a-z0-9-]{25,50}b'        - 'bhttps://hooks.slack.com/services/[a-zA-Z0-9-_]{6,12}/[a-zA-Z0-9-_]{6,12}/[a-zA-Z0-9-_]{15,24}b'    github_access_token:        - '[w-]*:[w-][email protected]*'risks:    - remove    - delete    - insert    - update    - logoutjsFiler:    - www.w3.org    - example.comurlFiler:    - .js?|.css?|.jpeg?|.jpg?|.png?|.gif?|www.w3.org|example.com|<|>|{|}|[|]|||^|;|/js/|.src|.replace|.url|.att|.href|location.href|javascript:|location:|application/x-www-form-urlencoded|.createObject|:location|.path|*#__PURE__*|*$0*|n    - .*.js$|.*.css$|.*.scss$|.*,$|.*.jpeg$|.*.jpg$|.*.png$|.*.gif$|.*.ico$|.*.svg$|.*.vue$|.*.ts$jsFuzzPath:    - login.js    - app.js    - main.js    - config.js    - admin.js    - info.js    - open.js    - user.js    - input.js    - list.js    - upload.js

敏感信息提取工具  URLFinder-x

敏感信息提取工具  URLFinder-x

敏感信息提取工具  URLFinder-x

· 下 载

https://github.com/N-Next/URLFinder-x

原文始发于微信公众号(Web安全工具库):敏感信息提取工具 -- URLFinder-x

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月10日13:51:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   敏感信息提取工具 URLFinder-xhttps://cn-sec.com/archives/3717631.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息