Github Hacking

作者: Uri | 来源:发表于2015-09-25 20:11 被阅读21287次
    Github Search

    我们都听过社会工程学这个名词,准确来说,社会工程学不是一门科学,而是一门艺术。而在社会工程学中,对信息掌握的充分程度是其中的关键。不光是这,在其它很多领域里我们都需要尽可能的搜集多的信息。

    为了搜集更多的信息,目前主流的搜索途径有:

    1.Google Hacking,这个就不必多说了,google强大的搜索引擎,只要会用,搜出来的真是超出意料。(比如下面这个搜出来的名单,包括身份证,手机,qq等信息应有尽有)

    某政府公务员信息统计表

    2.Shodan,物联网搜索引擎,是互联网上最可怕的搜索引擎,搜索所有和互联网关联的服务器、摄像头、打印机、路由器等等。

    Shodan.io

    3.ZoomEye,是知道创宇推出的一款网络空间搜索引擎,探索互联网设备和网站节点,包括路由器、物联网家电、平板电脑、手机等,甚至还有监控探头、工业控制中的SCADA系统等比较敏感的设备,可以说是国版Shodan。

    ZoomEye

    4.社工库,反正就是各种脱库流出的数据,只能说数据泄漏无处不在。。

    上面都是一些废话,与本文无关。上面都是在不同层面上对信息的一种检索,而本文则提供另一种思路,我们从另一个维度进行探索——代码搜索引擎。

    Github Hacking

    Github不仅能托管代码,还能对代码进行搜索,我们感受到了其便利的同时,也应该时刻注意,当你上传并公开你的代码时,一时大意,让某些敏感的配置信息文件等暴露于众。

    让我们从第一个例子开始。当搜索ssh password关键字时,其中里面有这样一个有趣的结果:

    好像是一个捷克教育科研网络的,账号密码写的这么简洁明了,于是登录上去看一看。

    是不是还挺欢乐的,早就有无数人登陆过了,还有人留下文本善意提醒。这意味着什么,Github早已被盯上,也许下一个大事件会是某漏洞导致Github私有库代码大量泄漏。

    当我们在Github上搜索时,我们到底能搜到什么

    能搜到的东西很多,这里只是给个思路,具体怎么玩自己去尝试。

    邮箱

    比如说以mail password关键字搜索:

    搜索很多邮箱的帐号密码,这里就不一一列举了。

    如果说用@qq.com或者是@gmail.com等各种邮箱后缀为关键字进行搜索,你会发现某商户收集的客户qq信息:

    各种账号密码

    Github上能搜到的账号密码实在是太多了,筛选一下你会发现很多有意思的。比如说有微信公众平台帐号:


    居然连Github的登陆帐号也放在上面。。


    各种VIP

    万万没想到啊,没想到Github上还有这等福利!

    百度云

    尽管大部分链接已经失效,但是好资源还是有的。


    简历

    没想到还有很多人把包含个人信息的如此重要的简历也放在了Github上。搜索相关关键字resume简历学历

    其它

    比如说有时候我需要微信开放平台的应用AppID(太懒,不想申请),于是搜索关键字WXApi registerApp,出来很多:

    总之,鉴于越来越多人开始使用Github(非码农,比如说科学家,作家,音乐制作人,会计等职业),你可以在Github搜的内容也越来越多,不仅仅是代码,简直什么都有,什么某人做的笔记啊,写的小说啊,自拍照啊,还有书籍,论文等,简直出乎意料。

    是时候该做点什么了

    没错,当你看完本文,在以后上传项目代码时注意一下,以免泄露敏感信息;如果已经有帐号密码在上面了就赶快去修改吧。

    最后,欢迎关注我的微信公众号:urinx

    相关文章

      网友评论

      • Yang_ss:可以,很社工
      • 孤单f北半球:吓得我赶紧把项目下掉了:cold_sweat:
      • ADELEX:这个Shodan和ZoomEye搜到了摄像头之类的信息有啥用?
      • LoveYourself:无处不hack
      • Shawn是个工程师:😄hack潜质
      • 狂风落尽深红色绿树成荫子满枝:我有次头晕眼花把自己github密码push上去了。。。
        Uri:@狂风落尽深红色绿树成荫子满枝 哈哈😄
      • Adven:刚才试了试,从github上找了一个看样子靠谱的邮箱账号。
        登陆进去,发现各种账号绑定该邮箱,接着进行找到密码操作。
        得到了各种信息:名字,头像照片,毕业学校,详细住址,电话号码,qq号码,各种常见网站账号。
        吓死宝宝了。 :sweat:
        6086b9cc9757: 说不要做坏事,还是爬了一整个学校的女生照片找女朋友,连男生都看不下去了,人能不这么虚伪吗?
        Uri:@Adven 不要干坏事哟。。大家都是程序员不容易呀,最好能够善意的提醒下(欢迎分享本文链接)^_^
      • simoncos:好口怕,趕快撿錢買private repo啊
      • 不是谢志伟:涨姿势了
      • MicroCai:楼主好人一生平安
      • cTqPap:野鸡程序员 哈哈
        6086b9cc9757:野鸡不野鸡无所谓,还是看人品比较重要,用来干坏事就不行了。
      • 十一岁的加重:学习了,这么用原来是

      本文标题:Github Hacking

      本文链接:https://www.haomeiwen.com/subject/yczicttx.html