一键挖出6类敏感信息:身份证、工资表、API密钥、后台入口、学籍数据、运维凭证全自动!

admin 2026-07-09 06:28:45 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档介绍了一款名为LeakDetector的自动化信息泄露侦察工具,基于BingDork高级语法和Playwright浏览器引擎,用于发现互联网上暴露的敏感信息。工具支持六层分级侦察策略,覆盖API配置、敏感文件、后台入口、行业特征、漏洞特征及运维设施,具备深度内容分析、反爬对抗和可视化报告功能。文档强调仅供授权安全测试使用,并提供了安装、配置及使用说明。 综合评分: 84 文章分类: 红队,渗透测试,内网渗透,数据泄露,安全工具


cover_image

一键挖出6类敏感信息:身份证、工资表、API密钥、后台入口、学籍数据、运维凭证全自动!

原创

菜狗 菜狗

只会看监控的实习生

2026年7月6日 09:06 广东

在小说阅读器读本章

去阅读

自动化信息泄露侦察工具

基于 Bing Dork 高级语法 + Playwright 浏览器自动化,智能发现互联网暴露的敏感信息。支持抗反爬机制、深度内容分析、可视化审计报告,专为红队渗透测试和安全研究设计。

⚠️ 法律声明:本工具仅供授权安全测试使用,严禁非法入侵或数据窃取。


✨ 核心特性

| 特性 | 说明 | | — | — | | 🛡️ 六层 Dork 策略 | P1-P6 分级侦察,覆盖 API 配置、敏感文件、后台入口、漏洞特征、行业特征、运维设施 | | 🧠 智能浏览器引擎 | Playwright 动态渲染,自动/手动绕过验证码,解决 IP 封禁 | | 🔍 深度内容分析 | Excel/CSV/PDF 解析,PII 正则提取,风险评分自动标记 | | ⚡ 高性能并发 | 10-50 线程 Pipeline 架构,边搜边解 | | ⚙️ 可视化配置 | GUI 关键词管理,6 大分类自定义,自动保存 | | 📊 智能报告 | Excel 多维度分析,自动补全下载,数据去重分类 |


🎯 侦察策略矩阵

| 级别 | 策略 | 目标 | 示例语法 | | — | — | — | — | | P1 | 基础设施 & API | Swagger、Actuator、配置文件 | inurl:swaggerfilename:.env | | P2 | 精准文件泄露 | Excel/PDF 含 PII | filetype:xlsx "通讯录"filetype:xlsx "身份证" | | P3 | 后台与 OA | 泛微/致远/Jenkins/GitLab | inurl:weaverinurl:jenkins | | P4 | 行业特征 | 教育/政府特有数据 | "教务系统""录取名单" | | P5 | 漏洞技术 | SQL 报错、Webshell、源码 | intext:"sql syntax"ext:sql | | P6 | 运维与云设施 | VPN、云密钥、DevOps | filename:id_rsainurl:gitlab |


🚀 快速开始

环境要求

  • Python 3.8+
  • Playwright 浏览器

安装

# 克隆项目
git clone https://github.com/yourname/LeakDetector.git
cd LeakDetector

# 安装依赖
pip install -r requirements.txt
playwright install

# 或直接使用打包版
# 双击 LeakDetector.exe(无需 Python 环境)

基础使用

# 单目标扫描
python leakdetector.py -d example.com

# 批量目标
python leakdetector.py -f targets.txt

# 指定策略级别
python leakdetector.py -d example.com --level P1-P3

# 浏览器模式(推荐)
python leakdetector.py -d example.com --browser

GUI 模式

python leakdetector.py --gui
# 或双击 LeakDetector.exe

⚙️ 配置说明

config.json

{
  "proxy_enabled": true,
  "proxy_url": "127.0.0.1:7890",
  "use_browser": false,
  "max_threads": 10,
  "time_range": "不限时间",
  "auto_organize": false
}

keywords.json(敏感关键词)

{
  "敏感入口/系统": ["后台", "管理系统", "登录", "Admin"],
  "教育敏感数据": ["学号", "录取", "成绩单"],
  "企业商业机密": ["合同", "薪资", "工资"],
  "个人隐私数据": ["身份证", "手机号", "通讯录"],
  "报错/调试信息": ["SQL syntax", "Fatal error"],
  "敏感凭证/Token": ["api_key", "access_token"]
}

📊 输出报告

results/
└── Scan_20240115_143052/
    ├── 信息泄露扫描报告_xxx.xlsx  # 核心产出
    │   ├── 汇总详情页              # 按风险评分排序
    │   └── 扫描概览页              # 统计与 Top20
    ├── downloads/                  # 自动下载的原始文件
    │   ├── example.com_通讯录.xlsx
    │   └── target.edu.cn_录取名单.pdf
    └── logs/                       # 运行日志

风险评分:

  • 🔴 红色:极高危(身份证、密码)
  • 🟡 黄色:中危(邮箱、手机号)
  • 🟢 绿色:低危(一般配置)

🛡️ 反爬对抗

| 机制 | 说明 | | — | — | | 验证码检测 | 自动识别 Turnstile/ReCAPTCHA | | 手动绕过 | GUI 弹窗引导,完成验证后继续 | | 动态渲染 | Playwright 处理 JS 加载内容 | | 代理支持 | HTTP/Socks5 自动切换 |

项目地址

https://github.com/cbbzx12/LeakDetector

低价出售安全证书不限于cisp、pte等cnvd、c2nvd请Vme~建了一个项目群,想进群的请回复进群即可


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:只会看监控的实习生 菜狗 菜狗《一键挖出6类敏感信息:身份证、工资表、API密钥、后台入口、学籍数据、运维凭证全自动!》

评论:0   参与:  0