Merhaba arkadaşlar. Bugün sizlere Go programlama dili kullanarak geliştirdiğim bir aracı tanıtacağım.
Aracımızın adı findsecret. Bazen geliştiriciler önemli ve gizli sayılabilecek bilgileri direk Javascript kodlarının içerisinde açık bir şekilde kullanıyorlar. Nedir bunlar?
- Api key
- Authentication token
- S3 buckets
- Ip adresleri
- Hashler
- Hardcoded şifreler
Programımızın amacı Javascript dosyalarında bu bilgileri bulmak. Bu tarz hassas ve işe yarayacak bilgiler bize bug bounty veya pentest yaparken yardımcı olacak.
Peki nereden indireceğiz? ve nasıl kullanacağız?
Öncelikle programımızı direk kaynağından kurmak istiyorsanız bilgisayarınıza Golang kurmanız lazım.
- https://go.dev/dl/ ilgili sayfayı ziyaret ederek golang’i sisteminize kurun.
Sonra terminalinizi açarak `go install github.com/burak0x01/findsecret@latest` diyerek yüklemesini bekleyin.
Eğer bu kurulumda sıkıntı yaşarsanız aşağıdaki adımları takip edin.
- https://github.com/burak0x01/findsecret/releases/ sayfayı ziyaret edin.
- Sisteminize uygun en son sürüm binary dosyasını indirin.
Linux için: findsecret_1–0–4_linux_amd64.zip
Windows için: findsecret_1–0–4_windows_amd64.zip
Mac için: findsecret_1–0–4_darwin_amd64.zip
- Dosyayı zipden çıkartın.
İşte bu kadar. Artık kullanıma hazır.
Peki nasıl kullanacağız?
Programımızı çıkardığınız klasörde ./findsecret diyerek ilk çalıştırmayı yapın. Bunu yapmamızın amacı programımızın kullanacağı gerekli dosyayı indirmek. Bu dosyamızın adı secrets.json. Kendisi içinde gerekli regex patternlerini barındırıyor. Yazının sonunda bu dosyayı nasıl düzenleyeceğinizi söyleyeceğim.
İlk çalıştırmadan sonra programımız kullanmaya hazır. Aracımız çalışmak için iki parametreye ihtiyaç duyuyor. Input ve Output. Input bir link veya localinizde bulunan bir dosya ya da JS linklerinin yer aldığı bir txt dosyası. Output ise sonucun yazılacağı bir txt dosyası ya da stardart output olabilir. default da -o belirtmez isek sonuçlar terminalimize yazılır.
- Input link ise
- Input localde bir dosya ise
- Input js domain dolu bir txt dosyası ise
Şeklinde bir kullanım yapabilirsiniz.
Peki aracımız hangi gizli bilgileri buluyor? ve bunları nerden alıyor?
Aracımızı ilk çalıştırdığınızda kullanıcının ev dizinine secrets.json adlı bir json dosyası indiriyor. Bu dosyada aşağıda görebileceğiniz üzere regex patternleri var.
Bu patternleri kendiniz yazabilir yada https://github.com/1ndianl33t/Gf-Patterns ilgili linkteki gibi hazır yazmış kişilerden alabilirsiniz.
Windows için: C:\Users\<kullanıcı_adınız>\findsecret\secrets.json
Linux için: /home/<kullanıcı_adı>/findsecret/secrets.json
İlgili yerlerde bu dosyayı bulabilir ve düzenleyebilirsiniz. Gerek görmediğiniz patternleri silebilir ya da ekstra patternler ekleyebilirsiniz.
Evet artık Bug bounty veya pentest yaparken karşılaştığınız uzun ve karmaşık JS dosyalarındaki işe yarar bilgileri artık nasıl bulabileceğinizi biliyorsunuz.
Umarım beğenmişsinizdir. Bir sonraki yazıda görüşmek üzere. Hoşcakalın.
