0717-7821348
关于我们

欢乐彩票网址

您现在的位置: 首页 > 关于我们 > 欢乐彩票网址
Yar:用于侦查Github上存储库用户和安排的东西
2019-10-08 22:11:20

yar是一款OSINT东西,首要用于侦查Github上的存储库、用户和安排。Yar会克隆给定的用户/安排的存储库,并按照提交时刻次序遍历整个提交前史,查找密钥、令牌及暗码等。每逢你发现一个密钥时,它都会打印出来以供你进一步的评价剖析。

Yar经过正则表达式,熵(entropy)或两者进行查找,你能够依据实际情况自行挑选。你能够把yar幻想成是truffleHog的升级版,它能做truffleHog能够做的一切工作,乃至比它做的更多更好!

装置

装置只需运转以下指令即可。

go get github.com/Furduhlutur/yar

只需保证在首选shell rc中设置了GOPATH环境变量,而且$GOPATH/bin目录坐落PATH中。更多信息请在此处检查。

运用

查找安排密钥:

yar -o orgname

在用户存储库中查找密钥:

yar -u username

在单个存储库中查找密钥:

yar -r repolink

或许假如Yar:用于侦查Github上存储库用户和安排的东西你已克隆了存储库:

yar -r repopath

在安排,用户和存储库中查找密钥:

yar -o orgname -u username -r reponame

有Yar:用于侦查Github上存储库用户和安排的东西自己的预界说规矩?

规矩存储在JSON文件中,格局如下:

{ "Rules": [ { "Reason": "The reason for the match", "Rule": "The regex rule", "Noise": 3 }, { "Reason": "Super secret token", "Rule": "^Token: .*$", "Noise": 2 } ] "FileBlacklist": [ "Regex rule here" "^.*\\.lock" ] }

然后,你能够运用以下指令加载自己的规矩集:

yar -u username --rules PATH_TO_JSON_FILE

假如你已有一个truffleHog的装备并期望将它移植到yar装备中,那么config文件夹中有一个脚本能够为你完结。只需运转python3 trufflestoconfig.py PATH_TO_TRUFFLEHOG_CONFIG,脚本就会为你生成一个名为yarconfig.json的文件。

不喜欢正则?

yar -u username --entropy

两者一起进行:

yar -u username --both

作为已身份验证用户进行查找:

将github token增加到环境变量中。

export YAR_GITHUB_TOKEN=YOUR_TOKEN_HERE

将你的发现保存到JSON文件以供后续剖析:

yar -o orgname --save

不喜欢默许色彩,想增加自己的色彩设置?

能够经过环境变量自界说Yar的输Yar:用于侦查Github上存储库用户和安排的东西出色彩。可供挑选的色彩如下:

black blue cyan green magenta red white yellow hiBlack hiBlue hiCyan hiGreen hiMagenta hiRed hiWhite hiYellow

你能够增加bold参数让字体以粗体显现,例如 blue bold 蓝色粗体。

这是经过以下env变量完结的:

YAR_COLOR_VERBOSE -> Color of verbose lines. YAR_COLOR_SECRET -> Color of the highlighted secret. YAR_COLOR_INFO -> Color of info, that is, simple strings that tell you something. YAR_COLOR_DATA -> Color of data, i.e. commit message, reason,Yar:用于侦查Github上存储库用户和安排的东西 etc. YAR_COLOR_SUCC -> Color of succesful messages. YAR_COLOR_WARN -> Color of warnings. YAR_COLOR_FAIL -> Color of fatal warnings.

像这样 export YAR_COLOR_SECRET=”hiRed bold”。

协助 usage: yar [-h|--help] [-o|--org ""] [-u|--user ""] [-r|--repo ""] [-c|--context永利 ] [-e|--entropy] [-b|--both] [-f|--forks] [-n|--noise ] [-s|--save] [--depth ] [--config ] [--cleanup] [--no-context] Sail ye seas of git for booty is to be found Arguments: -h --help Print help information -o --org Organization to plunder. -u --user User to plunder. -r --repo Repository to plunder. -c --context Show N number of lines for context. Default: 2 -e --entropy Search for secrets using entropy analysis. Default: false -b --both Search by using both regex and entropy analysis. Overrides entropy flag. Default: false -f --forks Specifies whether forked repos are included or not. Default: false -n --noise Specify the maximum noise level of findings to output. Default: 3 -s --save Yar will save all findings to a file named findings.json if this flag is set. Default: false --depth Specify the depth limit of commits fetched when cloning. Default: 100000 --config JSON file containing yar config. --cleanup Remove all cloned directories used for caching. --no-context Only show the secret itself, similar to trufflehog's regex output. Overrides context flag. Default: false 称谢

本项意图创意首要来历于truffleHog这款东西,用于熵查找的代码实际上是从truffleHog存储库中借用的,而truffleHog存储库则借用了这篇文章。

别的,短少以下库也不行能有该项目:、

*参阅来历:GitHub,FB小编secist编译,转载请注明来自FreeBuf.COM

Yar:用于侦查Github上存储库用户和安排的东西