第21天:信息打点-公众号服务&Github监控&供应链&网盘泄漏&证书图标邮箱资产

第21天:信息打点-公众号服务&Github监控&供应链&网盘泄漏&证书图标邮箱资产

微信公众号&获取&三方服务

获取微信公众号的途径

第一个是通过爱企查,小蓝本,还有最近的风鸟。

第二个是通过搜狗搜索进行公众号搜索,但是现在不能进行搜索。

关于微信有没有第三方服务

有的公众号中所有的功能可能都是用的腾讯的接口,从而可能收集不到需要的资产。另一些可能用的是自己的网站,点击之后可以跳转页面,而这些网站就是要收集的资产。

Github 监控-开发&配置&源码

目标中开发人员或者托管公司上传的项目存在源码泄漏或配置信息(密码密匙等),
人员数据库等敏感信息,找到多个脆弱点。

目标中开发人员或者托管公司上传的项目存在源码泄漏或配置信息(密码密匙等),
人员数据库等敏感信息,找到多个脆弱点。

1、人员&域名&邮箱等筛选

eg:xxx.cn password in:file
https://gitee.com/
https://github.com/
https://www.huzhan.com/

GITHUB 资源搜索:

搜索语法 解释
in:name test #仓库标题搜索含有关键字
in:descripton test #仓库描述搜索含有关键字
in:readme test #Readme 文件搜素含有关键字
stars:>3000 test #stars 数量大于 3000 的搜索关键字
stars:1000…3000 test #stars 数量大于 1000 小于 3000 的搜索关键字
forks:>1000 test #forks 数量大于 1000 的搜索关键字
forks:1000…3000 test #forks 数量大于 1000 小于 3000 的搜索关键字
size:>=5000 test #指定仓库大于 5000k(5M)的搜索关键字
pushed:>2019-02-12 test #发布时间大于 2019-02-12 的搜索关键字
created:>2019-02-12 test #创建时间大于 2019-02-12 的搜索关键字
user:test #用户名搜素
license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字
language:java test #在 java 语言的代码中搜索关键字
user:test in:name test #组合搜索,用户名 test 的标题含有 test 的

关键字配合谷歌搜索:

1
2
3
4
5
6
7
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp

实际例子:

Snipaste_2025-05-24_21-26-56

其实查找github就是因为这是一个代码托管平台,有些时候程序员会将一些测试页面上传到这个上面,然后忘记删除,那么你就可以通过github进行搜索。比如还会有一些sql文件,或者一些默认密码之类的。

github监控

https://github.com/madneal/gshark

关于网盘搜索

https://www.chaonengsou.com/