• Stars
    star
    1,385
  • Rank 33,928 (Top 0.7 %)
  • Language
    Python
  • License
    MIT License
  • Created about 5 years ago
  • Updated almost 2 years ago

Reviews

There are no reviews yet. Be the first to send feedback to the community and the maintainers!

Repository Details

一款信息泄漏利用工具,适用于.git/.svn/.DS_Store泄漏和目录列出

Dump all: 多种泄漏形式,一种利用方式

dumpall dumpall 是一款信息泄漏/源代码泄漏利用工具

https://github.com/0xHJK/dumpall


⚠️ 警告:本工具仅用于授权测试,不得用于非法用途,否则后果自负!

⚠️ WARNING:FOR LEGAL PURPOSES ONLY!

🤘 Features

  • 支持多种泄漏情况利用
  • Dumpall使用方式简单
  • 使用asyncio异步处理速度快

适用于以下场景:

  • .git源代码泄漏
  • .svn源代码泄漏
  • .DS_Store信息泄漏
  • 目录列出信息泄漏

TODO:

  • 支持更多利用方式
  • 优化大文件下载
  • 增强绕过功能

项目地址:https://github.com/0xHJK/dumpall

在macOS下的Python 3.7中测试通过,建议使用Python 3.7+

🚀 QuickStart

# pip安装
pip install dumpall
# 查看版本
dumpall --version
# 手动下载使用
git clone https://github.com/0xHJK/dumpall
cd dumpall
# 查看版本
python3 dumpall.py --version

💫 Usage

# 下载文件(源代码)
dumpall -u <url> [-o <outdir>]

# 示例
dumpall -u http://example.com/.git/
dumpall -u http://example.com/.svn/
dumpall -u http://example.com/.DS_Store
dumpall -u http://example.com/

帮助

$ dumpall --help
Usage: dumpall.py [OPTIONS]

  信息泄漏利用工具,适用于.git/.svn/.DS_Store,以及目录列出下载

  Example: dumpall -u http://example.com/.git

Options:
  --version          Show the version and exit.
  -u, --url TEXT     指定目标URL,支持.git/.svn/.DS_Store,以及类index页面
  -o, --outdir TEXT  指定下载目录,默认目录名为主机名
  -p, --proxy TEXT   指定代理 scheme://[user:pass@]hostname:port
  -f, --force        强制下载(可能会有蜜罐风险)
  -d, --debug        调试模式
  --help             Show this message and exit.

.git源代码泄漏利用

0xHJK dumpall gitdumper

.svn源代码泄漏利用

0xHJK dumpall svndumper

.DS_Store信息泄漏利用

0xHJK dumpall dsdumper

🙋 FAQ

  1. OSError(24, 'Too many open files'))

手动修改系统打开文件最大数量限制,如 ulimit -n 65535

  1. 旧版本SVN无法利用

先用idxdumper凑合,等有空补充

📜 History

  • 2022-05-09 v0.4.0
    • 优化基础功能,修复BUG
    • 增加调试模式
    • 优化多任务调度
    • 支持代理
    • 支持随机UserAgent
  • 2022-03-01 v0.3.2
    • 修复URL编码问题
  • 2021-08-09 v0.3.1
    • 修复任意位置存储漏洞、增加蜜罐警告
  • 2020-05-22 v0.3.0
    • 完成目录列出信息泄漏利用功能
  • 2019-10-27 v0.2.0
    • 优化下载方法
    • 完成.DS_Store信息泄漏利用功能
  • 2019-10-24 v0.1.0
    • 项目架构优化
    • 完成.svn源代码泄漏利用功能
  • 2019-10-23
    • 完成.git源代码泄漏利用功能
  • 2019-10-19 项目启动

🤝 Contributions

本项目参考或使用了以下项目,在此感谢相关开发者

感谢以下开发者的贡献

  • @k0ngfei
  • @nian-hua
  • @fabaff

如有意愿参与项目开发,请遵循以下规范

📄 License

MIT License

Star History

Star History Chart

More Repositories

1

music-dl

search and download music 从网易云音乐、QQ音乐、酷狗音乐、百度音乐、虾米音乐、咪咕音乐等搜索和下载歌曲
Python
3,787
star
2

Proxies

100行Python代码快速获得一个代理池,两分钟获得数千个有效代理
Python
579
star
3

TotalPass

Default password scanner. 默认密码扫描器
Python
195
star
4

CleanApps

让互联网为用户服务,而不是把用户变成互联网的产品
167
star
5

XPS13-9360-i5-8250U-macOS

Hackintosh macOS Mojave 10.14 on XPS13-9360 黑苹果10.14安装配置及教程
Rich Text Format
146
star
6

caidao

中国菜刀及其衍生版本的Webshell管理工具收集
65
star
7

mafengwo-crawlers

马蜂窝分布式爬虫,用来获取目的地和景点信息
Python
47
star
8

x12306

12306查票助手,一键查询沿途所有站点,先上车后补票,让你的出行更省心。
Python
38
star
9

Intel-NUC9-i7-9850H-macOS

Intel NUC9V7QNX Hackintosh 英特尔 NUC9 幽灵峡谷黑苹果配置和教程 支持 macOS Sonoma 14.3
20
star
10

ASUS-Z370-F-i7-8700K-macOS

Hackintosh ASUS华硕Z370-F黑苹果EFI配置和教程 macOS Ventura 13.2 & macOS Big Sur 11.1 & macOS Catalina 10.15 & macOS Mojave 10.14
Rich Text Format
19
star
11

HeyMo

更好用的Windows编程字体
15
star
12

srunauth

浙江大学软件学院(srun3000)上网认证
Shell
11
star
13

ipip

IP归属地批量查询
Python
7
star
14

passgen

一个简易密码生成器 A simple password dictionary generator
Python
7
star
15

hackbox

一个无聊的小工具箱 https://github.com/0xHJK/hackbox
Python
5
star
16

zhihu-fuli

过滤知乎当前页面的图片,以瀑布流形式展现,如果显示不正常,请使用最新版chrome
JavaScript
5
star
17

0xHJK

about
1
star
18

biaozhun

网络安全和信息化相关国家标准和行业标准目录
1
star
19

gps4photos

批量给照片添加GPS信息
Python
1
star