yar是一款OSINT专用工具,关键用以侦查Github上的储存库、用户和机构。Yar会复制给出的用户/机构的储存库,并依照递交先后顺序解析xml全部递交历史时间,搜索密钥、动态口令及登陆密码等。每每你发觉一个密钥时,它都是会复印出去以便你进一步的评定剖析。
Yar根据正则表达式,熵(entropy)或二者开展搜索,你可以依据具体情况自主挑选。你可以把yar想像成是truffleHog的全新升级,它能做truffleHog能够做的全部事儿,乃至比它做的越来越多!
安裝
安裝只需运作下列指令就可以。
go get github.com/Furduhlutur/yar
只需保证在优选shell rc中设定了GOPATH环境变量,而且$GOPATH/bin文件目录坐落于PATH中。其他信息请在这里查询。
应用
搜索机构密钥:
yar -o orgname
在用户储存库中搜索密钥:
yar -u username
在单独储存库中搜索密钥:
yar -r repolink
或是假如你已复制了储存库:
yar -r repopath
在机构,用户和储存库中搜索密钥:
yar -o orgname -u username -r reponame
有自身的预订义标准?
标准储存在 *** ON文档中,文件格式以下:
{
"Rules":[
{
"Reason": "The reason for the match",
"Rule": "The regex rule",
"Noise": 3
},
{
"Reason": "Super secret token",
"Rule": "^Token: .*$",
"Noise": 2
}
]
"FileBlacklist":[
"Regex rule here"
"^.*\\\\.lock"
]
}
随后,你可以应用下列指令载入自身的标准集:
yar -u username --rules PATH_TO_ *** ON_FILE
假如你现有一个truffleHog的配备并期待将它移殖到yar配备中,那麼config文件夹中有一个脚本 *** 可以为你进行。只需运作python3 trufflestoconfig.py PATH_TO_TRUFFLEHOG_CONFIG,脚本 *** 便会给你形成一个名叫yarconfig.json的文档。
讨厌正则表达式?
yar -u username --entropy
二者另外开展:
yar -u username --both
做为已身份认证用户开展搜索:
将github token加上到环境变量中。
export YAR_GITHUB_TOKEN=YOUR_TOKEN_HERE
将你的发觉储存到 *** ON文档以供事后剖析:
yar -o orgname --save
讨厌默认设置颜色,想加上自身的颜色设定?
能够根据环境变量自定Yar的輸出颜色。可列举的颜色以下:
black
blue
cyan
green
magenta
red
white
yellow
hiBlack
hiBlue
hiCyan
hiGreen
hiMagenta
hiRed
hiWhite
hiYellow
你可以加上bold主要参数让字体样式以粗字体表明,比如 blue bold 深蓝色粗字体。
它是根据下列env自变量进行的:
YAR_COLOR_VERBOSE -> Color of verbose lines.
YAR_COLOR_SECRET -> Color of the highlighted secret.
YAR_COLOR_INFO -> Color of info, that is, simple strings that tell you something.
YAR_COLOR_DATA -> Color of data, i.e. commit message, reason, etc.
YAR_COLOR_SUCC -> Color of succesful messages.
YAR_COLOR_WARN -> Color of warnings.
YAR_COLOR_FAIL -> Color of fatal warnings.
像那样 export YAR_COLOR_SECRET=”hiRed bold”。
协助
usage: yar[-h|--help][-o|--org ""][-u|--user ""][-r|--repo
""][-c|--context ][-e|--entropy][-b|--both]
[-f|--forks][-n|--noise ][-s|--save][--depth ]
[--config ][--cleanup][--no-context]
Sail ye seas of git for booty is to be found
Arguments:
-h --help Print help information
-o --org Organization to plunder.
-u --user User to plunder.
-r --repo Repository to plunder.
-c --context Show N number of lines for context. Default: 2
-e --entropy Search for secrets using entropy *** ysis. Default: false
-b --both Search by using both regex and entropy *** ysis. Overrides
Hello, 小伙伴们,大家好。在我们学习中,经常会有一些长相类似,但其实读音和意思大相径庭的单词,往往掌握不好的话,我们容易混淆。像sweet 和sweat 便是一个例子,二者仅仅一个字母之差,...
怎么定位陌陌号好友位置(如何定位陌陌好友的地理位置) 我们在聊天或者在刷朋友圈或微博的时候,经常能看到手机的地理位置信息,其实这个信息有可能是虚拟的,也就是假的。是的,这只是其中的一种功能。也许你还...
每一年的6月7日、8日是今年高考的生活,6月7日考语文课、数学课,6月8日考英文、文科综合/理科综合。也有一些省区由于高考制度改革,考试内容会出现调节 高考科目有 公共性学科:语文课、数学课、外国语...
不得不承认,互联网低幼化已经是一个愈发明显的趋势。科技飞速发展的另一面是人们渐渐失去了独立思考的能力。如何避免这种情况的加剧,低科技产品的生活方式或许是一个好的解决方法。 小叉车呕泥酱麻麻爱你!热...
杭州商务陪伴外国小学妹【华厚菊】 今天给大家分享的内容是“杭州商务陪伴外国小学妹【华厚菊】”,我是华厚菊,来自晋城市,今年25岁,作为职业:生物/制药/医疗器械,我热爱我的职业:生物/制药/医疗器械。...
本文目录一览: 1、我是高中生 意外泄露了学籍号,会不会产生什么影响??对考大学会不会有坏处? 会不会被修改个人信息? 2、我的学籍被盗用怎么查询是谁盗用的 3、黑客入侵学信网改学籍容易吗...