Slurp - S3 Bucket Enumerator - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Slurp - S3 Bucket Enumerator


Blackbox / whitebox S3 balde recenseador 

Overview
  • Crédito para todos os pacotes de fornecedores que tornaram essa ferramenta possível.
  • Esta é uma ferramenta de segurança; destina-se a pen-testers e profissionais de segurança para realizar auditorias de buckets s3.


Características
  • Varredura via domínio (s); você pode segmentar um único domínio ou uma lista de domínios
  • Escaneie via palavra (s) -chave; você pode segmentar uma única palavra-chave ou uma lista de palavras-chave
  • Faça a varredura por meio de credenciais da AWS ; você pode segmentar sua própria conta da AWS para ver quais depósitos foram expostos
  • Saída colorida para grep visual
  • Atualmente gera mais de 28.000 permutações por domínio e palavra-chave (graças a @jakewarren e @ random-robbie)
  • Suporte a Punycode para domínios internacionalizados
  • Licença de copyleft forte (GPLv3)

Modos
Existem dois modos em que esta ferramenta opera; modo blackbox e whitebox. O modo Whitebox (ou interno) é significativamente mais rápido que o modo blackbox (externo). 

Blackbox (externo)
Neste modo, você está usando a lista de permutações para realizar varreduras. Ele retornará falsos positivos e não há como vincular os intervalos a uma conta real do aws! Não abra questões perguntando como fazer isso. 

Domínio


Palavras-chave


Whitebox (interno)
Nesse modo, você está usando a API da AWS com credenciais em uma conta específica que você possui para ver o que está aberto. Esse método obtém todos os buckets do S3 e verifica as permissões Policy / ACL. Observe que não fornecerei suporte sobre como usar a API da AWS. Suas credenciais devem estar em ~/.aws/credentials

interno



Uso
  • slurp domain <-t|--target> example.com irá enumerar os domínios do S3 para um destino específico.
  • slurp keyword <-t|--target> linux,golang,python irá enumerar baldes S3 com base nessas 3 palavras-chave.
  • slurp internalrealiza uma varredura interna usando a API da AWS.

Instalação
Este projeto usavgovocê pode clonar e /go buildou baixar da seção Releases. Por favor, não abra questões sobre por que você não pode construir o projeto ; este projeto é construído como qualquer outro projeto em Go, se você não pode construir, então eu sugiro fortemente que você leia a especificação go . 
Além disso, os únicos binários que estou incluindo sãolinux/amd64Se você quiser mac / windows binários, construa você mesmo.



Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search