文章总结: 该文档介绍了一款名为LeakDetector的自动化信息泄露侦察工具,基于BingDork高级语法和Playwright浏览器引擎,用于发现互联网上暴露的敏感信息。工具支持六层分级侦察策略,覆盖API配置、敏感文件、后台入口、行业特征、漏洞特征及运维设施,具备深度内容分析、反爬对抗和可视化报告功能。文档强调仅供授权安全测试使用,并提供了安装、配置及使用说明。 综合评分: 84 文章分类: 红队,渗透测试,内网渗透,数据泄露,安全工具
一键挖出6类敏感信息:身份证、工资表、API密钥、后台入口、学籍数据、运维凭证全自动!
原创
菜狗 菜狗
只会看监控的实习生
2026年7月6日 09:06 广东
在小说阅读器读本章
去阅读
自动化信息泄露侦察工具
基于 Bing Dork 高级语法 + Playwright 浏览器自动化,智能发现互联网暴露的敏感信息。支持抗反爬机制、深度内容分析、可视化审计报告,专为红队渗透测试和安全研究设计。
⚠️ 法律声明:本工具仅供授权安全测试使用,严禁非法入侵或数据窃取。
✨ 核心特性
| 特性 | 说明 | | — | — | | 🛡️ 六层 Dork 策略 | P1-P6 分级侦察,覆盖 API 配置、敏感文件、后台入口、漏洞特征、行业特征、运维设施 | | 🧠 智能浏览器引擎 | Playwright 动态渲染,自动/手动绕过验证码,解决 IP 封禁 | | 🔍 深度内容分析 | Excel/CSV/PDF 解析,PII 正则提取,风险评分自动标记 | | ⚡ 高性能并发 | 10-50 线程 Pipeline 架构,边搜边解 | | ⚙️ 可视化配置 | GUI 关键词管理,6 大分类自定义,自动保存 | | 📊 智能报告 | Excel 多维度分析,自动补全下载,数据去重分类 |
🎯 侦察策略矩阵
| 级别 | 策略 | 目标 | 示例语法 |
| — | — | — | — |
| P1 | 基础设施 & API | Swagger、Actuator、配置文件 | inurl:swagger , filename:.env |
| P2 | 精准文件泄露 | Excel/PDF 含 PII | filetype:xlsx "通讯录" , filetype:xlsx "身份证" |
| P3 | 后台与 OA | 泛微/致远/Jenkins/GitLab | inurl:weaver , inurl:jenkins |
| P4 | 行业特征 | 教育/政府特有数据 | "教务系统" , "录取名单" |
| P5 | 漏洞技术 | SQL 报错、Webshell、源码 | intext:"sql syntax" , ext:sql |
| P6 | 运维与云设施 | VPN、云密钥、DevOps | filename:id_rsa , inurl:gitlab |
🚀 快速开始
环境要求
- Python 3.8+
- Playwright 浏览器
安装
# 克隆项目
git clone https://github.com/yourname/LeakDetector.git
cd LeakDetector
# 安装依赖
pip install -r requirements.txt
playwright install
# 或直接使用打包版
# 双击 LeakDetector.exe(无需 Python 环境)
基础使用
# 单目标扫描
python leakdetector.py -d example.com
# 批量目标
python leakdetector.py -f targets.txt
# 指定策略级别
python leakdetector.py -d example.com --level P1-P3
# 浏览器模式(推荐)
python leakdetector.py -d example.com --browser
GUI 模式
python leakdetector.py --gui
# 或双击 LeakDetector.exe
⚙️ 配置说明
config.json
{
"proxy_enabled": true,
"proxy_url": "127.0.0.1:7890",
"use_browser": false,
"max_threads": 10,
"time_range": "不限时间",
"auto_organize": false
}
keywords.json(敏感关键词)
{
"敏感入口/系统": ["后台", "管理系统", "登录", "Admin"],
"教育敏感数据": ["学号", "录取", "成绩单"],
"企业商业机密": ["合同", "薪资", "工资"],
"个人隐私数据": ["身份证", "手机号", "通讯录"],
"报错/调试信息": ["SQL syntax", "Fatal error"],
"敏感凭证/Token": ["api_key", "access_token"]
}
📊 输出报告
results/
└── Scan_20240115_143052/
├── 信息泄露扫描报告_xxx.xlsx # 核心产出
│ ├── 汇总详情页 # 按风险评分排序
│ └── 扫描概览页 # 统计与 Top20
├── downloads/ # 自动下载的原始文件
│ ├── example.com_通讯录.xlsx
│ └── target.edu.cn_录取名单.pdf
└── logs/ # 运行日志
风险评分:
- 🔴 红色:极高危(身份证、密码)
- 🟡 黄色:中危(邮箱、手机号)
- 🟢 绿色:低危(一般配置)
🛡️ 反爬对抗
| 机制 | 说明 | | — | — | | 验证码检测 | 自动识别 Turnstile/ReCAPTCHA | | 手动绕过 | GUI 弹窗引导,完成验证后继续 | | 动态渲染 | Playwright 处理 JS 加载内容 | | 代理支持 | HTTP/Socks5 自动切换 |
项目地址
https://github.com/cbbzx12/LeakDetector
低价出售安全证书不限于cisp、pte等cnvd、c2nvd请Vme~建了一个项目群,想进群的请回复进群即可
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:只会看监控的实习生 菜狗 菜狗《一键挖出6类敏感信息:身份证、工资表、API密钥、后台入口、学籍数据、运维凭证全自动!》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论