.git泄漏（github 监控软件）

文章前言

GitHub作为开源代码平台，给程序员提供了交流学习的地方，提供了很多便利，但如果使用不当，比如将包含了账号密码、密钥等配置文件的代码上传了，导致攻击者能发现并进一步利用这些泄露的信息进行攻击测试，这便是一个典型的GitHub敏感信息泄露漏洞。而本篇文章将介绍一款实用性较强的GitHub敏感信息收集利器——GSIL。

环境搭建

下载安装包

首先前往GitHub下载GSIL项目（地址：https://github.com/FeeiCN/GSIL）

之后解压到自己指定的文件夹目录下面：

.git泄漏（github 监控软件）

安装依赖库

之后安装第三方依赖库（注意这里需要使用Python3环境来运行该项目）：

.git泄漏（github 监控软件）

pip3 install -r requirements.txt

.git泄漏（github 监控软件）

修改配置文件

config.gsil

之后便是修改配置文件，在这里我们需要自我注册2个新的QQ或者163或者其他的邮箱用来发送邮件和接受邮件，下面以QQ邮箱为例演示配置流程，首先我们先来看一下GSIL提供的默认的配置文件：

[mail]host : smtp.exmail.qq.com  port : 465mails : 21xxxxxxx64@qq.comfrom : GSILpassword : your_passwordto : feei@feei.cncc : feei@feei.cn
[github]clone : falsetokens : your_github_token

上面的mail中的host为邮件服务器的host地址，port为端口号，mails为你的邮件地址(发送邮件)，password为授权码，具体获取方式如下：

设置——》账户，在该页面中找到如下界面

.git泄漏（github 监控软件）

之后点击开启POP3/SMTP服务并进行密保验证：

.git泄漏（github 监控软件）

之后即可获得你的授权码

.git泄漏（github 监控软件）

to这是配置接受邮件的邮箱地址，cc则是邮件抄送的接受地址，这里cc建议和to配置一样，如果有多个用户在用的话可以抄送多个~

最后则是GitHub的配置了，这里我们需要生成一个GitHub的token，具体流程如下：

访问如下链接：https://github.com/settings/tokens

.git泄漏（github 监控软件）

输入密码进行验证

.git泄漏（github 监控软件）

之后填写个人Access Token选项：

.git泄漏（github 监控软件）

之后点击生成Token即可查看该Token：

.git泄漏（github 监控软件）

最后完成配置文件如下：

[mail]host : smtp.qq.comport : 465mails : 21*****4@qq.comfrom : GSILpassword : zqbixxxxxxxhto : h****y@163.comcc : h****y@163.com
[github]clone : falsetokens : cef****************************ad7

rules.gsil.example

该文件主要用于配置搜索规则，下面为官方给出的一个配置规则说明实例，用户可以更具需求来进行配置：

.git泄漏（github 监控软件）

{    # usually using the company name, used as the first parameter to open the scan(Example:`python gsil.py test`)    \\\"test\\\": {        # General use of product name        \\\"mogujie\\\": {            # Internal domain name of the company            \\\"\\\\\\\"mogujie.org\\\\\\\"\\\": {                # mode/ext options no need to configure by default                \\\"mode\\\": \\\"normal-match\\\",                \\\"ext\\\": \\\"php,java,python,go,js,properties\\\"            },            # Company code\\\'s characteristic code            \\\"copyright meili inc\\\": {},            # Internal host domain name            \\\"yewu1.db.mogujie.host\\\": {},            # External mailbox            \\\"mail.mogujie.com\\\": {}        },        \\\"meilishuo\\\": {            \\\"meilishuo.org\\\": {},            \\\"meilishuo.io\\\": {}        }    }}

实战操作

下面以OSS存储桶为例来搜索GitHub中泄露的OSS存储桶账户密码信息，首先我们跟新配置规则如下：

{    \\\"oss\\\": {        \\\"oss\\\": {            \\\"AccesskeySecret AccessKeyId oss\\\": {                \\\"mode\\\": \\\"normal-match\\\",                \\\"ext\\\": \\\"php,java,python,go,js,properties\\\"            }        }    }}

之后我们查看一下GitHub的token是否可以使用（如果不可以使用则使用之前介绍的流程重新生成一个token即可）

.git泄漏（github 监控软件）