360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 2387|回复: 0
打印 上一主题 下一主题

利用Github寻找敏感信息进行入侵

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2015-10-9 10:05:42 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


0x01 引子
先给不知道什么是Github的朋友们科普一下什么是Github
Github是一个分布式的版本控制系统,目前拥有140多万开发者用户。随着越来越多的应用程序转移到了云上,Github已经成为了管理软件开发以及发现已有代码的首选方法。
Github可以托管各种git库,并提供一个web界面,但与其它像 SourceForge或GoogleCode这样的服务不同,Github的独特卖点在于从另外一个项目进行分支的简易性。
关于Github的更多详情请见下面链接http://baike.baidu.com/view/3366456.htm?fr=aladdin
众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应……
Github上敏感信息的泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患,接下来我就跟大家分享一下我与Github的一些情一些事
0x02 #Github之邮件配置信息泄露#
很多网站及系统都会使用pop3和smtp发送来邮件,不少开发者由于安全意识不足会把相关的配置信息也放到Github上,所以如果这时候我们动用一下google搜索命令语句,构造一下关键字,就能把这些信息给找出来了。
我的各种姿势:
site:Github.com smtp
site:Github.com smtp @qq.com  
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
……
我们也可以锁定域名搜索结合厂商域名  灵活运用例如搜百度的
site:Github.com smtp @baidu.com
案例展示
0x0201.某著名互联网公司B一员工邮箱账号密码泄露

该公司另一员邮箱账号密码泄露

成功进入该公司某员工邮箱

0x0202.某程序员163邮箱账号密码泄露

0x0203.某程序员QQ邮箱账号密码泄露

成功登陆该QQ邮箱

邮件配置这块就举例这里为止了
0x03 #Github之数据库信息泄露#
我的各种姿势:
site:Github.com sa password
site:Github.com root password
site:Github.com User ID='sa';Password
……
案例展示:
0x0301.某国内著名互联网公司A内网mssql数据库账号密码泄露 sa权限(漫游内网大牛最喜欢了)

0x0302 某著名人才招聘公司内网mysql数据库账号密码泄露 roo权限(漫游内网大牛最喜欢了)

0x04 #Github之svn信息泄露#
我的各种姿势:
site:Github.com svn
site:Github.com svn username
site:Github.com svn password
site:Github.com svn username password
……
案例展示:
0x0401.又是某互联网公司B  SVN信息泄露]

0x0402.某网站svn信息泄露

0x05 #Github之数据库备份文件#
我的姿势:
site:Github.com inurl:sql
……
这个往往能收到不少好东西
一个数据库备份文件  从而找到后台管理员账号密码  找到地址登陆后台这样的例子有不少
案例展示:挑了一个由于存放数据库备份文件导致泄露中国联通8000员工邮箱及手机号的案例

0x06 #Github之综合信息泄露#
我的各种姿势:
site:Github.com password
site:Github.com ftp ftppassword
site:Github.com 密码
site:Github.com 内部
……
太多太多了 就不一一列出来了 大家自由发挥
案例展示:
0x0601.试了一下   这个基本里面的密码基本失效了  就不打码了

如果别人在第一时间看到这份文件  危害就来了
0x0602.最后直接来个诈尸  当时翻到这份文件时简直是吓鸟了 密码简直太全了



上面三幅图帖的是关于此程序员的一系列密码泄露
试了服务器账号密码和微信公众平台,以及新浪微博官方账号全部正确,还可域名劫持,支付宝账号密码以及支付密码都有了,如果里面有钱可被瞬间盗走……
但作为一名白帽子,看到这样危害极大的信息泄露,当时马上通知该网站负责人修复……
End  大家有什么新姿势可以留言补充哈
0x07 结束语
呼吁广大使用Github平台的程序员要注意保护自己的信息安全问题,总而言之,安全无小事,……
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-23 06:14 , Processed in 0.072512 second(s), 33 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表