Python
Source
Edit
History

github泄露工具测试

信息收集在渗透测试中是非常重要的,在大型渗透项目中资产会不断更新,随时可能会有新的资产,也就随时有可能有新的信息泄露,调研了两种github泄露工具。

github频率限制规则解决

  1. 将扫描规则按优先级拆分成不同类型并以不同的速度去运行
  2. 注册多个账号申请多个token

gshark

  • go语言编写,使用gogithub库实现对github接口的请求,web界面配置形式

环境搭建
https://github.com/madneal/gshark
https://madneal.com/post/gshark-%E7%9B%91%E6%B5%8B%E4%BD%A0%E7%9A%84github%E6%95%8F%E6%84%9F%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2/

npm—-开启网页端
go—-开启服务端

1

GSIL

  • python编写,yaml配置文件形式

config.gsil.cfg—-报警邮箱和github token配置

rules.gsil.yaml—-扫描规则配置

2

注意需要将pygithub设置最新版

  • 使用库
    使用github api—–pygithub库
    多进程—-multiprocessing
    pool.apply_async 异步

gsil()–>start()–>config.py读取配置文件–>pool.apply_async多进程search(engine.py)–>利用pygithub库对接口进行访问