【FreeBuf福利群招新啦!
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
如群已满,请添加FreeBuf小助手微信(freebee2022)】
goGetBucket是一款针对AWS S3 Bucket的渗透测试与安全研究工具,在该工具的帮助下,广大研究人员可以快速扫描和发现AWS S3 Bucket。
在针对一个域名执行网络侦查任务的时候,了解目标组织所拥有的资产是非常重要的。AWS S3 Bucket的权限问题一直都是困扰大家的一个麻烦事,而这一个麻烦则有可能进一步导致敏感数据的泄漏。
因此goGetBucket便应运而生,该工具可以使用常见的模式来枚举S3 Bucket名称,并通过使用自定义列表实现根域名置换的形式来枚举更多的S3 Bucket。
该工具支持扫描并返回下列关于每一个Bucket的信息:
1、列表权限;
2、写入权限;
3、Bucket所在的区域;
4、目标Bucket是否禁用了全部的访问权限;
由于该工具基于Go语言开发,因此广大研究人员需要在本地设备上安装并配置好Go语言环境。
接下来,我们可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/glen-mac/goGetBucket.git
除此之外,我们也可以使用go get命令来安装goGetBucket:
go get -u github.com/glen-mac/goGetBucket
goGetBucket -m ~/tools/altdns/words.txt -d <domain> -o <output> -i <wordlist>(向右滑动,查看更多)
Usage of ./goGetBucket:-d string提供目标域名-f string测试文件路径 (默认"/tmp/test.file")-i string要枚举的输入字典文件路径-k string关键词列表-m string变异字典路径-o string输入文件/日志路径-t int并发线程数量 (默认为100)
本项目的开发与发布遵循GPL-3.0开源许可证协议。
goGetBucket:
https://github.com/glen-mac/goGetBucket
文章引用微信公众号"FreeBuf",如有侵权,请联系管理员删除!