就算不是程式員,也一定知曉github的大名。如果真不熟,那可以将此文看做入門指南。
github是采用git協定的大型雲軟體庫。任何人都可以很容易地建立github賬戶,不僅免費,甚至不用提供真實的電子郵件位址。
登入github,你便可以自由釋出代碼,而世界上任何人都能看到你的代碼,下載下傳它,或者以它為藍本形成新的分支。
github模式非常強大,使得軟體開發能夠輕松寫意地協作完成。但正如事物都有兩面性,友善的同時有那麼幾個安全問題也就不足為奇了。
github對使用者送出的内容不做任何過濾。因為對上傳的内容沒有任何限制,人們常将之用作個人存儲和備份空間。而因為被用作了個人存儲和備份空間,隻要找到正确的打開方式,這裡簡直就是敏感資料的寶庫。甚至,還準備好了寶礦探測的大法寶——搜尋。
與谷歌的dorks非常相像,github也有一定數量的關鍵字可以用于精煉搜尋結果。其中一些就是“filename(檔案名)”、“extension(字尾)”和“path(路徑)”。
顧名思義,“檔案名”和“字尾”可用于檢索特定檔案名或檔案字尾。“路徑”這個關鍵字就比較有意思了,可以搜尋檔案路徑中的特定目錄。比如,你可以用檢索項“path:etc”來查找“etc”檔案夾下的檔案。
如果想玩過界,嘗試一下檢索項的邪惡用法,你可以将這些關鍵字串聯起來使用,檢索結果會相當有趣。比如說,使用“filename:shadow path:etc”這個複合檢索項。
成就此文時,用這個檢索項可以找出736條unix系統的shadow檔案。對unix稍有涉獵的人都知道,/etc/shadow檔案包含了系統中所有使用者密碼的哈希值。
github上暴露的/etc/shadow檔案
github上能看到的unix密碼哈希值
利用john或hashcat之類廣為流傳的密碼破解器,根據密碼複雜度的不同,這些哈希值可在數秒到幾年之間被破解出來。去年10月中旬檢索出來的所有/etc/shadow檔案哈希中,僅僅3天時間,就被破解出了60%。
unix系統的shadow檔案還僅僅隻是個開始。在github上,wordpress配置檔案、sftp伺服器配置檔案、rsa私鑰、sql轉儲檔案等等,應有盡有。
很多人都已經開始意識到github上的資料根本就是任君采撷,而且越多的人意識到他們自己或其他人可能無意中把敏感資料放到了github上,也就意味着更多的人有機會去搜一下看看,并幫助将這些敏感資料撤下來。而一些威脅情報公司早已把github當成一個重要的資料收集源。
那麼問題來了:這麼多資料擺在你面前,你該怎麼做呢?收割啊!
githarvester就是這樣一款輔助你從github上收割資料的自動化工具。它可以利用github檢索字元串,拉出檢索結果,然後應用正規表達式比對結果資料,從中找出敏感檔案及其中特定資料。
舉個例子,如果你想查找含有root使用者密碼哈希的shadow檔案,就可以使用githarvester達成目的。
為什麼要寫這麼個能讓壞人更容易地染指别家系統的工具呢?原因太多了,“因為這是開始一個新程式設計項目的借口啊”、“隻是想看看github上到底有多少資料啊”等等等等。不過,主要原因,還是在于要揭露這個安全缺口。
最後,神器奉上:
<a href="https://github.com/metac0rtex/githarvester">https://github.com/metac0rtex/githarvester</a>
本文轉自d1net(轉載)