通过泄露转储找邮箱密码

2025年6月9日01:47:57评论3 views字数 882阅读2分56秒阅读模式

市场上收集泄露信息转储做成产品的不少，很多还是公开免费的，也有一些需要付费，简单来说就是对这些产品接口遍历一次，看泄露事件中是否有对应的邮箱密码。开源工具h8mail在这方面确实是个不错的工具，集成使用的接口如下：

HaveIBeenPwned (v3)：能查邮箱被几个泄露事件祸害过，能用，但要API Key。
HaveIBeenPwned Pastes (v3)：找网上涉及到你目标邮箱的文本文件，能用，也要API Key。
Hunter.io (公开版)：能找相关的邮箱，能用。
Hunter.io (免费服务版)：能看到关联邮箱的泄露原文，能用，得要API Key。
Snusbase (服务版)：查密码原文、密码哈希值、盐、用户名、IP地址，能用，要API Key。
Leak-Lookup (公开版)：查的到大概有多少泄露结果，能用。
Leak-Lookup (服务版)：查密码原文、哈希值、盐、用户名、IP、域名... 信息很全，能用，要API Key。
Emailrep.io (免费版)：邮箱在哪个泄露事件中，还有社交媒体资料，能用，要API Key。
scylla.so (免费版)：也是查密码原文、哈希值、盐、用户名、IP、域名这些硬货。
Dehashed.com (服务版)：查密码原文、哈希值、盐、用户名、IP、域名，靠谱能用，但要API Key。
IntelX.io (免费试用版)：能查的东西挺多，除了密码、哈希、用户名、IP、域名，连比特币钱包、银行账号(IBAN)都有可能能找到，试用，要API Key。
Breachdirectory.org (免费版)：查密码原文、哈希值、加盐、用户名、域名。

工具地址：https://github.com/khast3x/h8mail，github里有详细使用说明，配置好需要的api key，效果如下：

ps：

说一个算是公开的技巧，账号密码或打点类需要的话，收集log类泄露是个很好的选择，量大，便宜，公开样例部分量也不错，大概关键字是“U:L:P - Logs -[URL:LOGIN:PASS] ” 这三种。

原文始发于微信公众号（军机故阁）：通过泄露转储找邮箱密码

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

TREVORproxy:用 Python 编写的 SOCKS 代理，可以随机化你的源 IP 地址