Yar:用以侦查Github上储存库用户和机构的专用工具
yar是一款OSINT专用工具,关键用以侦查Github上的储存库、用户和机构。Yar会复制给出的用户/机构的储存库,并依照递交先后顺序解析xml全部递交历史时间,搜索密钥、动态口令及登陆密码等。每每你发觉一个密钥时,它都是会复印出去以便你进一步的评定剖析。
Yar根据正则表达式,熵(entropy)或二者开展搜索,你可以依据具体情况自主挑选。你可以把yar想像成是truffleHog的全新升级,它能做truffleHog能够做的全部事儿,乃至比它做的越来越多!
安裝
安裝只需运作下列指令就可以。
go get github.com/Furduhlutur/yar
只需保证在优选shell rc中设定了GOPATH环境变量,而且$GOPATH/bin文件目录坐落于PATH中。其他信息请在这里查询。
应用
搜索机构密钥:
yar -o orgname
在用户储存库中搜索密钥:
yar -u username
在单独储存库中搜索密钥:
yar -r repolink
或是假如你已复制了储存库:
yar -r repopath
在机构,用户和储存库中搜索密钥:
yar -o orgname -u username -r reponame
有自身的预订义标准?
标准储存在 *** ON文档中,文件格式以下:
{
"Rules":[
{
"Reason": "The reason for the match",
"Rule": "The regex rule",
"Noise": 3
},
{
"Reason": "Super secret token",
"Rule": "^Token: .*$",
"Noise": 2
}
]
"FileBlacklist":[
"Regex rule here"
"^.*\\\\.lock"
]
}
随后,你可以应用下列指令载入自身的标准集:
yar -u username --rules PATH_TO_ *** ON_FILE
假如你现有一个truffleHog的配备并期待将它移殖到yar配备中,那麼config文件夹中有一个脚本 *** 可以为你进行。只需运作python3 trufflestoconfig.py PATH_TO_TRUFFLEHOG_CONFIG,脚本 *** 便会给你形成一个名叫yarconfig.json的文档。
讨厌正则表达式?
yar -u username --entropy
二者另外开展:
yar -u username --both
做为已身份认证用户开展搜索:
将github token加上到环境变量中。
export YAR_GITHUB_TOKEN=YOUR_TOKEN_HERE
将你的发觉储存到 *** ON文档以供事后剖析:
yar -o orgname --save
讨厌默认设置颜色,想加上自身的颜色设定?
能够根据环境变量自定Yar的輸出颜色。可列举的颜色以下:
black
blue
cyan
green
magenta
red
white
yellow
hiBlack
hiBlue
hiCyan
hiGreen
hiMagenta
hiRed
hiWhite
hiYellow
你可以加上bold主要参数让字体样式以粗字体表明,比如 blue bold 深蓝色粗字体。
它是根据下列env自变量进行的:
YAR_COLOR_VERBOSE -> Color of verbose lines.
YAR_COLOR_SECRET -> Color of the highlighted secret.
YAR_COLOR_INFO -> Color of info, that is, simple strings that tell you something.
YAR_COLOR_DATA -> Color of data, i.e. commit message, reason, etc.
YAR_COLOR_SUCC -> Color of succesful messages.
YAR_COLOR_WARN -> Color of warnings.
YAR_COLOR_FAIL -> Color of fatal warnings.
像那样 export YAR_COLOR_SECRET=”hiRed bold”。
协助
usage: yar[-h|--help][-o|--org ""][-u|--user ""][-r|--repo
""][-c|--context ][-e|--entropy][-b|--both]
[-f|--forks][-n|--noise ][-s|--save][--depth ]
[--config ][--cleanup][--no-context]
Sail ye seas of git for booty is to be found
Arguments:
-h --help Print help information
-o --org Organization to plunder.
-u --user User to plunder.
-r --repo Repository to plunder.
-c --context Show N number of lines for context. Default: 2
-e --entropy Search for secrets using entropy *** ysis. Default: false
-b --both Search by using both regex and entropy *** ysis. Overrides
相关文章
汗蒸后需要补充什么(汗蒸前后要注意哪些问题
受韩剧的影响,汗蒸馆如雨后春笋遍布国内大小城市,汗蒸也成为现代人休闲娱乐的一种方式。尤其是冬天,家里洗澡相对较冷,所以很多人更愿意选择汗蒸馆给身体做个舒适的SPA。 其实汗蒸的好处还是很多的,透过高...
怎么远程收到老公微信聊天,听取微信语音通话的内容_微信聊天记录
怎么远程收到老公微信聊天?如果你用微信接球,你就能做到,您可以收到您老公的语音聊天内容,如果您正在与他人的语音聊天内容交谈,则无法接收到该内容。用他的微信在电脑上登录桌面版的微信,查看聊天记录。 最...
珠峰测定新高程,电脑电源电路图习近平为何特意致信?
(近观中国)珠峰测定新高程,习近平为何特意致信? 中新社北京12月9日电 (黄钰钦 李京泽)8848.86米——这是被誉为“地球之巅”的珠穆朗玛峰的最新测定高程。12月8日,中国国家主席习近...
黑客vbs代码全屏(黑客霸屏代码)
vbs设置弹窗乱弹满屏 1、在两行中间输入: msgbox( 你要说的话 ) 回顾:msgbox是提示框的意思,打开后将会出现一个提示框,提示你要说的话。 而加入无限循环,则会让你要说的话一直循环。...
sss
sss是指三角形全等条件。全等三角形指两个全等的三角形,它们的三条边及三个角都应对等。全等三角形是几何中全等之。 a本身代表的意思就是“优等,优秀”的意思,然后级别以此类推有b、c、d、b是英文“go...
聚来宝是真的吗(聚来宝官网)
聚来宝并不是骗子,不用会员一分钱而且通过平台跳转购物还能返钱,你能说他骗人吗……它与淘宝客一样的导购平台,到现在还在营运,如果是骗人的话早。 是真的,我都做了一年多了 说说具体情况? 用借贷宝抢现金吧...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!