首页 > 其他分享 >《渗透测试》信息打点-公众号服务&Github监控&供应链&网盘泄漏&证书图标邮箱资产 2023 Day21

《渗透测试》信息打点-公众号服务&Github监控&供应链&网盘泄漏&证书图标邮箱资产 2023 Day21

时间:2023-04-05 14:55:08浏览次数:39  
标签:Github 网盘 关键字 搜索 https 2023 test com

 

#微信公众号-获取&三方服务

1、获取微信公众号途径

https://weixin.sogou.com/

2、微信公众号有无第三方服务

 

#Github监控-开发&配置&源码

目标中开发人员或者托管公司上传的项目存在源码泄漏或配置信息(密码密匙等),人员数据库等敏感信息,找到多个脆弱点。

1、人员&域名&邮箱等筛选

eg:xxx.cn password in:file

https://gitee.com/

https://github.com/

https://www.huzhan.com/

GITHUB资源搜索:

in:name test #仓库标题搜索含有关键字

in:descripton test #仓库描述搜索含有关键字

in:readme test #Readme文件搜素含有关键字

stars:>3000 test #stars数量大于3000的搜索关键字

stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字

forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素

license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字

user:test in:name test #组合搜索,用户名test的标题含有test的

关键字配合谷歌搜索:

site:Github.com smtp

site:Github.com smtp @qq.com

site:Github.com smtp @126.com

site:Github.com smtp @163.com

site:Github.com smtp @sina.com.cn

site:Github.com smtp password

site:Github.com String password smtp

 

2、语法固定长期后续监控新泄露

-基于关键字监控

-基于项目规则监控

https://github.com/madneal/gshark

https://github.com/NHPT/FireEyeGoldCrystal

https://github.com/Explorer1092/Github-Monitor

 

#网盘资源搜索-全局文件机密

主要就是查看网盘中是否存有目标的敏感文件

如:企业招标,人员信息,业务产品,应用源码等

 

#敏感目录文件-目录扫描&爬虫

-后续会详细讲到各类工具项目

 

#网络空间进阶-证书&图标&邮箱

-证书资产

fofa quake hunter

-ICO资产

fofa quake hunter

-邮箱资产

https://hunter.io/

 

#实战案例四则-技术分享打击方位

案例1--招标平台二级跳

案例2--爱企查隐藏的惊喜

案例3--邮箱爆破到内网

案例4--不靠系统漏洞,从外网获取域控

标签:Github,网盘,关键字,搜索,https,2023,test,com
From: https://www.cnblogs.com/muqing1/p/17289433.html

相关文章

  • 联想拯救者Y9000P 2023版 双系统ubuntu安装nvidia显卡驱动、cuda及cudnn简明教程
    前言对于从事机器学习、深度学习、图像处理、自然语言处理等科研与工作的小伙伴们,ubuntu系统是一个不错的选择,本人前几天入手拯救者y9000p2023版本,配置为:RTX406016G13代i913900HX,由于我从事智能驾驶工作,电脑到之后就安装了ubuntu双系统,本篇文章将为大家介绍一下ubuntu安装nvi......
  • 低至 8 折,入手不亏,融云 2023 年度钜惠来啦!
    点击报名社交泛娱乐出海赋能会【广州站】融云“暖春约订,惠顾予你”年度钜惠活动来啦!关注【融云全球互联网通信云】了解更多今年最大优惠力度,上车卡位最佳时间,入手不亏,各位开发者们不要错过这一波哦......
  • #yyds干货盘点#【愚公系列】2023年04月 .NET CORE工具案例-使用MailKit使用POP3协议进
    前言1.MailKit简介MailKit是最流行且最强大的.NET邮件处理框架之一,下面为大家简单介绍MailKit的使用方式(IMAP为例)2.MailKit功能安全SASL身份验证支持CRAM-MD5、DIGEST-MD5、LOGIN、NTLM、OAUTHBEARER、PLAIN、SCRAM-SHA-1、SCRAM-SHA-256、SCRAM-SHA-512和XOAUTH2......
  • #yyds干货盘点#【愚公系列】2023年04月 .NET CORE工具案例-性能监控工具WatchDog的使
    前言所谓日志(Log)是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件。通常情况下,系统日志是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器......
  • Vue进阶(四十七):面试必备:2023 Vue经典面试题总结(含答案)
    一、什么是MVVM?MVVM是Model-View-ViewModel的缩写。MVVM是一种设计思想。Model层代表数据模型,也可以在Model中定义数据修改和操作的业务逻辑;View代表UI组件,它负责将数据模型转化成UI展现出来,ViewModel是一个同步View和Model的对象。在MVVM架构下,View和Model之间并没......
  • 2023/4 做题记录 #1
    2023/4/5P5601小D与笔试https://www.luogu.com.cn/problem/P5601读题\(1\)min,码代码\(1\)min,调代码\(7\)min。注意读入时如果发现了答案不要break掉。#include<bits/stdc++.h>usingnamespacestd;intn,q;map<string,string>x;intmain(){ scanf("%d%d"......
  • 2023.4.5 网络最大流 Dinic算法
    网络最大流Dinic算法省选爆了qwq题目描述给出一个网络图,以及其源点和汇点,求出其网络最大流。网络流,就像水在一个水渠构成的网络中流一样,源点有无限的水,每条边有最大流量限制,求流到汇点的最大流量。更菜一点的EK算法自行了解,此处我们用dinic算法解决问题。这些网络流算法的......
  • 2023-04-04 哈密尔顿问题和路径压缩
    哈密尔顿问题和路径压缩1哈密尔顿回路和TSP路径与回路哈密尔顿问题偏计算机,欧拉问题偏数学,所以本章我们主要讲哈密尔顿回路和哈密尔顿路径哈密尔顿回路哈密尔顿路径欧拉回路欧拉路径哈密尔顿回路定义从一个点出发,沿着边走,经过每个顶点恰好一次,之后再回到出发点,过程......
  • java学习日记20230406-StringBuilder,StringBuffer,String比较
    StringBuffer,StringBuilder,String比较: StringBuilder和StringBuffer非常类似,均代表可变的字符序列,而且方法相同;String:不可变字符序列,效率低,但是复用率高;StringBuffer:可变字符序列,效率较高,线程安全;StringBuider:可变字符序列,效率极高,线程不安全  String使用注意说明: ......
  • java学习日记20230406-StringBuilder类
    StringBuilder类一个可变的字符序列,此类提供一个与StringBuffer兼容的Api,但不保证同步。该类被设计用作StringBuffer的一个简易替换,用在字符串缓冲区被单个线程使用的时候。如果可能,建议优先采用该类,因为在大多数实现中,他比StringBuffer要快----StringBuilder不是线程安全的在S......