技术笔记

Github上寻找敏感信息技巧分享

字号+ 作者:蜗蜗侠 来源:黑吧安全网 2016-11-27 16:13 我要评论( )

0x01 引子 先给不知道什么是Github的朋友们科普一下什么是Github Github是一个分布式的版本控制 系统 ,目前拥有140多万开发者用户。随着越来越多的应用程序转移到......

0x01 引子

先给不知道什么是Github的朋友们科普一下什么是Github

Github是一个分布式的版本控制系统,目前拥有140多万开发者用户。随着越来越多的应用程序转移到了云上,Github已经成为了管理软件开发以及发现已有代码的首选方法。

Github可以托管各种git库,并提供一个web界面,但与其它像 SourceForge或Google Code这样的服务不同,Github的独特卖点在于从另外一个项目进行分支的简易性。

关于Github的更多详情请见下面链接http://baike.baidu.com/view/3366456.htm?fr=aladdin

众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应……

Github上敏感信息的泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患,接下来我就跟大家分享一下我与Github的一些情一些事

0x02 #Github之邮件配置信息泄露#

很多网站及系统都会使用pop3和smtp发送来邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google搜索命令语句,构造一下关键字,就能把这些信息给找出来了。

我的各种姿势:

site:Github.com smtp 

site:Github.com smtp @qq.com  

site:Github.com smtp @126.com

site:Github.com smtp @163.com 

site:Github.com smtp @sina.com.cn

site:Github.com smtp password 

site:Github.com String password smtp

……

我们也可以锁定域名搜索结合厂商域名  灵活运用例如搜百度的

site:Github.com smtp @baidu.com

案例展示

0x0201.某著名互联网公司B一员工邮箱账号密码泄露

该公司另一员邮箱账号密码泄露

成功进入该公司某员工邮箱

0x0202.某程序员163邮箱账号密码泄露

0x0203.某程序员QQ邮箱账号密码泄露

成功登陆该QQ邮箱

邮件配置这块就举例这里为止了

0x03 #Github之数据库信息泄露#

我的各种姿势:

site:Github.com sa password

site:Github.com root password

site:Github.com User ID='sa';Password

……

案例展示:

0x0301.某国内著名互联网公司A内网mssql数据库账号密码泄露  sa权限(漫游内网大牛最喜欢了)

0x0302 某著名人才招聘公司内网mysql数据库账号密码泄露 roo权限(漫游内网大牛最喜欢了)

0x04 #Github之svn信息泄露#

我的各种姿势:

site:Github.com svn

site:Github.com svn username

site:Github.com svn password

site:Github.com svn username password 
……

案例展示:

0x0401.又是某互联网公司B  SVN信息泄露]

0x0402.某网站svn信息泄露

0x05 #Github之数据库备份文件#

我的姿势:

site:Github.com inurl:sql

……

这个往往能收到不少好东西

一个数据库备份文件  从而找到后台管理员账号密码  找到地址登陆后台这样的例子有不少

案例展示:挑了一个由于存放数据库备份文件导致泄露中国联通8000员工邮箱及手机号的案例

0x06 #Github之综合信息泄露#

我的各种姿势:

site:Github.com password

site:Github.com ftp ftppassword

site:Github.com 密码

site:Github.com 内部

..................................
 

太多太多了 就不一一列出来了 大家自由发挥

案例展示:

0x0601.试了一下   这个基本里面的密码基本失效了  就不打码了

如果别人在第一时间看到这份文件  危害就来了

0x0602.最后直接来个诈尸  当时翻到这份文件时简直是吓鸟了 密码简直太全了

上面三幅图帖的是关于此程序员的一系列密码泄露

试了服务器账号密码和微信公众平台,以及新浪微博官方账号全部正确,还可域名劫持,支付宝账号密码以及支付密码都有了,如果里面有钱可被瞬间盗走……

但作为一名白帽子,看到这样危害极大的信息泄露,当时马上通知该网站负责人修复…… 

End  大家有什么新姿势可以留言补充哈

0x07 结束语

呼吁广大使用Github平台的程序员要注意保护自己的信息安全问题,总而言之,安全无小事,……

 


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Note/347.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • SSRF漏洞挖掘经验寻找内网入口

    SSRF漏洞挖掘经验寻找内网入口

    2016-12-27 10:20

网友点评
暂时未开启评论功能~