Привет, кибервоины!
Сегодня мы учимся использовать TruffleHog. TruffleHog — это инструмент с открытым исходным кодом для сканирования репозиториев Git и их полной истории в поисках случайно раскрытых секретов. Он использует высокоэнтропийные проверки и настраиваемые регулярные выражения для обнаружения строк, похожих на ключи API, токены, пароли или другие конфиденциальные данные. Вы можете запустить TruffleHog для одного репозитория или указать ему API GitHub или GitLab для одновременного сканирования нескольких проектов.
Злоумышленники обожают TruffleHog, потому что он анализирует каждый коммит, тег и запись метаданных. Даже если разработчик позже удалит секрет, он всё равно останется в истории Git, и TruffleHog его обнаружит. Получив эти учётные данные, вы сможете проникать в базы данных, облачные аккаунты или сторонние сервисы, не вызывая подозрений.
Давайте посмотрим на это в действии.
kali > pip3 install git-dumper
kali > pip3 install trufflehog
Мы воспользуемся git-dumper для создания дампа открытых каталогов .git перед сканированием Trufflehog. Этот вектор распространён и опасен: многие хосты пострадали от утечек Git-папок.
С помощью нашего инструмента вы можете легко сделать дамп, указав цель и каталог, в котором следует сохранить файлы:
kali > git-dumper http://target.ru/.git dump
Помимо легкодоступных веб-сайтов, существуют веб-сайты, которые блокируют доступ к каталогу .git, но к некоторым его файлам все равно можно получить доступ.
Мы по-прежнему можем использовать git-dumper для извлечения всех доступных объектов, коммитов и ссылок в локальную папку дампа.
Он скопирует все объекты, коммиты и ссылки в локальную папку дампа. Если некоторые файлы заблокированы, а другие открыты по HTTP, вы всё равно сможете выгрузить их тем же способом.
kali > trufflehog --regex --entropy NO dump
В одном из файлов мы нашли учетные данные для базы данных.
Другой способ решения этой задачи — установить Trufflehog из репозитория Github и запустить его на файловой системе:
kali > curl -sSfL https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh | sh -s -- -b /usr/local/bin
<strong>kali > trufflehog filesystem /home/kali/Documents/dump</strong>
Такой подход может помочь вам настроить сканирование, но он часто приводит к зашумленным результатам и ложным срабатываниям.
Демонстрирует результаты, которые TruffleHog может проверить в режиме реального времени с помощью API сервисов (AWS, GitHub) в категории «проверено», а также высокоэнтропийные или регулярные соответствия в категории «неизвестно».
Проходит по всем репозиториям в организации trufflesecurity и выводит JSON только для проверенных или неизвестных объектов.
Подробно рассматривает описания проблем, комментарии, PR-тексты и PR-комментарии — полезно, поскольку иногда секреты раскрываются в ходе обсуждения.
Обращается к клонированному репозиторию на вашем диске, а не к нему по протоколу HTTP.
Сегодня мы учимся использовать TruffleHog. TruffleHog — это инструмент с открытым исходным кодом для сканирования репозиториев Git и их полной истории в поисках случайно раскрытых секретов. Он использует высокоэнтропийные проверки и настраиваемые регулярные выражения для обнаружения строк, похожих на ключи API, токены, пароли или другие конфиденциальные данные. Вы можете запустить TruffleHog для одного репозитория или указать ему API GitHub или GitLab для одновременного сканирования нескольких проектов.
Злоумышленники обожают TruffleHog, потому что он анализирует каждый коммит, тег и запись метаданных. Даже если разработчик позже удалит секрет, он всё равно останется в истории Git, и TruffleHog его обнаружит. Получив эти учётные данные, вы сможете проникать в базы данных, облачные аккаунты или сторонние сервисы, не вызывая подозрений.
Давайте посмотрим на это в действии.
Установка
Сначала установим два необходимых инструмента: git-dumper и trufflehog . Обратите внимание, что версия TruffleHog с библиотекой Python немного отличается от версии для GitHub, её меню справки и флаги могут отличаться.kali > pip3 install git-dumper
kali > pip3 install trufflehog
Мы воспользуемся git-dumper для создания дампа открытых каталогов .git перед сканированием Trufflehog. Этот вектор распространён и опасен: многие хосты пострадали от утечек Git-папок.
Дамп репозитория
Некоторые серверы случайно открывают доступ ко всему каталогу .git по HTTP. В примере ниже весь каталог был доступен.
С помощью нашего инструмента вы можете легко сделать дамп, указав цель и каталог, в котором следует сохранить файлы:
kali > git-dumper http://target.ru/.git dump
Помимо легкодоступных веб-сайтов, существуют веб-сайты, которые блокируют доступ к каталогу .git, но к некоторым его файлам все равно можно получить доступ.
Мы по-прежнему можем использовать git-dumper для извлечения всех доступных объектов, коммитов и ссылок в локальную папку дампа.
Он скопирует все объекты, коммиты и ссылки в локальную папку дампа. Если некоторые файлы заблокированы, а другие открыты по HTTP, вы всё равно сможете выгрузить их тем же способом.
Анализ репозиториев
После успешного дампа репозитория давайте посмотрим, что можно найти во всем этом хламе. Существует несколько способов найти ценные строки в файлах с помощью trufflehog. Обычно инструмент по умолчанию использует энтропию, что иногда полезно, но не должно ограничивать наше понимание инструмента. Другой практичный метод — использовать регулярные выражения без энтропии. В нашем случае это оказалось наиболее эффективным подходом.kali > trufflehog --regex --entropy NO dump
В одном из файлов мы нашли учетные данные для базы данных.
Другой способ решения этой задачи — установить Trufflehog из репозитория Github и запустить его на файловой системе:
kali > curl -sSfL https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh | sh -s -- -b /usr/local/bin
<strong>kali > trufflehog filesystem /home/kali/Documents/dump</strong>
Такой подход может помочь вам настроить сканирование, но он часто приводит к зашумленным результатам и ложным срабатываниям.
Другие способы анализа репозиториев
В зависимости от используемой вами сборки TruffleHog эти флаги позволяют вам точнее настроить поиск.Сканирование репозитория на предмет проверенных секретов
kali > trufflehog git https://github.com/trufflesecurity/test_keys --results=verified,unknown
Демонстрирует результаты, которые TruffleHog может проверить в режиме реального времени с помощью API сервисов (AWS, GitHub) в категории «проверено», а также высокоэнтропийные или регулярные соответствия в категории «неизвестно».
kali > trufflehog git https://github.com/trufflesecurity/test_keys --results=verified,unknown --json
Проходит по всем репозиториям в организации trufflesecurity и выводит JSON только для проверенных или неизвестных объектов.
Сканирование репозитория GitHub, проблем и запросов на извлечение
kali > trufflehog github --repo=https://github.com/trufflesecurity/test_keys --issue-comments --pr-comments
Подробно рассматривает описания проблем, комментарии, PR-тексты и PR-комментарии — полезно, поскольку иногда секреты раскрываются в ходе обсуждения.
Сканирование локального репозитория Git
kali > trufflehog git file://test_keys --results=verified,unknown Обращается к клонированному репозиторию на вашем диске, а не к нему по протоколу HTTP.
