Dump all: 多种泄漏形式，一种利用方式

dumpall 是一款信息泄漏/源代码泄漏利用工具

https://github.com/0xHJK/dumpall

⚠️ 警告：本工具仅用于授权测试，不得用于非法用途，否则后果自负！

⚠️ WARNING：FOR LEGAL PURPOSES ONLY!

🤘 Features

支持多种泄漏情况利用
Dumpall使用方式简单
使用asyncio异步处理速度快

适用于以下场景：

.git源代码泄漏
.svn源代码泄漏
.DS_Store信息泄漏
目录列出信息泄漏

TODO:

支持更多利用方式
优化大文件下载
增强绕过功能

项目地址：https://github.com/0xHJK/dumpall

在macOS下的Python 3.7中测试通过，建议使用Python 3.7+

🚀 QuickStart

# pip安装
pip install dumpall
# 查看版本
dumpall --version

# 手动下载使用
git clone https://github.com/0xHJK/dumpall
cd dumpall
# 查看版本
python3 dumpall.py --version

💫 Usage

# 下载文件（源代码）
dumpall -u <url> [-o <outdir>]
# 示例
dumpall -u http://example.com/.git/
dumpall -u http://example.com/.svn/
dumpall -u http://example.com/.DS_Store
dumpall -u http://example.com/

帮助

$ dumpall --help
Usage: dumpall.py [OPTIONS]
  信息泄漏利用工具，适用于.git/.svn/.DS_Store，以及目录列出下载
  Example: dumpall -u http://example.com/.git
Options:
  --version          Show the version and exit.
  -u, --url TEXT     指定目标URL，支持.git/.svn/.DS_Store，以及类index页面
  -o, --outdir TEXT  指定下载目录，默认目录名为主机名
  -p, --proxy TEXT   指定代理 scheme://[user:pass@]hostname:port
  -f, --force        强制下载（可能会有蜜罐风险）
  -d, --debug        调试模式
  --help             Show this message and exit.

.git源代码泄漏利用

0xHJK dumpall gitdumper

.svn源代码泄漏利用

0xHJK dumpall svndumper

.DS_Store信息泄漏利用

0xHJK dumpall dsdumper

🙋 FAQ

OSError(24, 'Too many open files'))

手动修改系统打开文件最大数量限制，如 ulimit -n 65535

旧版本SVN无法利用

先用idxdumper凑合，等有空补充

📜 History

2022-05-09 v0.4.0
- 优化基础功能，修复BUG
- 增加调试模式
- 优化多任务调度
- 支持代理
- 支持随机UserAgent
2022-03-01 v0.3.2
- 修复URL编码问题
2021-08-09 v0.3.1
- 修复任意位置存储漏洞、增加蜜罐警告
2020-05-22 v0.3.0
- 完成目录列出信息泄漏利用功能
2019-10-27 v0.2.0
- 优化下载方法
- 完成.DS_Store信息泄漏利用功能
2019-10-24 v0.1.0
- 项目架构优化
- 完成.svn源代码泄漏利用功能
2019-10-23
- 完成.git源代码泄漏利用功能
2019-10-19 项目启动

🤝 Contributions

本项目参考或使用了以下项目，在此感谢相关开发者

感谢以下开发者的贡献

如有意愿参与项目开发，请遵循以下规范

使用下划线命名法命名
使用 https://github.com/psf/black 做代码格式化

📄 License

MIT License