导语:拿到一批”疑似泄露”的API密钥,最头大的问题不是怎么用,而是——它到底能不能用?KeyHacks解决了这个痛点:用一条curl命令,快速验证密钥是否有效。覆盖100+平台,GitHub星标10k+,红队和赏金猎人的瑞士军刀来了。
一、为什么需要KeyHacks
在渗透测试和漏洞赏金中,最常见的场景之一就是——从代码仓库、配置文件、前端打包文件中挖到一串”看起来像密钥”的字符串。
问题来了:
这条AKIAIOSFODNN7EXAMPLE是真的AWS密钥吗?是生产环境还是测试环境?权限有多大?
传统做法是翻文档、搭环境、写代码,一通操作猛如虎,结果发现是个无效Token。
KeyHacks的思路很简单:每个平台的API验证逻辑都是固定的,直接给出curl命令,复制粘贴即验真伪。不用写代码,不用查文档,一把梭。
二、核心功能一览
覆盖平台(部分)
| 类别 | 平台 |
|---|---|
| 云服务 | AWS、Azure、GCP、Google Maps |
| 开发协作 | GitHub Token、GitLab个人访问令牌、GitHub私钥SSH |
| 消息通知 | Slack Webhook、Slack API Token、Microsoft Teams Webhook |
| 支付 | Stripe Live Token、PayPal Client ID/Secret |
| 短信/通话 | Twilio |
| 监控 | DataDog、New Relic、Grafana |
| 营销分析 | Amplitude、HubSpot、MailChimp、SendGrid |
| CDNs与安全 | Cloudflare API Key、Firebase、Firestore |
| 其他 | Shodan API Key、NPM Token、Telegram Bot API |
完整列表超过100个,持续更新中。
三、快速上手
安装
git clone https://github.com/streaak/keyhacks
cd keyhacks打开README.md,找到对应平台的验证命令。
验证示例
Slack Webhook
curl -s -X POST -H "Content-type: application/json"
-d '{"text":""}' "https://hooks.slack.com/services/T00000000/B00000000/XXXXXXXXXXXXXXXXXXXXXXXX"返回missing_text_or_fallback_or_attachments即有效。
GitHub Token
curl -s -H "Authorization: token TOKEN_HERE"
"https://api.github.com/users/USERNAME_HERE/orgs"Twilio
curl -X GET 'https://api.twilio.com/2010-04-01/Accounts.json'
-u ACCOUNT_SID:AUTH_TOKENAWS
AWS_ACCESS_KEY_ID=xxxx AWS_SECRET_ACCESS_KEY=yyyy
aws sts get-caller-identity有效凭证会返回IAM身份信息,配合enumerate-iam工具可以进一步探测权限边界。
四、红队视角:这些场景用得上
1. 代码泄漏检测
从GitHub搜索、LeakedSource、SonarQube等渠道获取目标资产后,先跑一遍KeyHacks,快速判断哪些凭证”真的能用”,避免浪费时间在死链上。
2. 漏洞报告降噪
提交漏洞时,最怕厂商来一句”这个密钥是测试环境的,没有生产权限”。用KeyHacks验证并截图,能直接证明密钥有效性,提升漏洞可信度。
3. 供应链审计
开源项目依赖的第三方API密钥、npm Token、PyPI Token是否有效?离职员工Token是否已回收?KeyHacks配合自动化脚本,批量检测不在话下。
4. 云环境权限探测
拿到AWS密钥后,aws sts get-caller-identity只告诉你”密钥能用”,但不知道能做什么。配合enumerate-iam工具,可以枚举S3、EC2、Lambda等服务的实际权限,画出攻击路径。
五、实际案例:GitHub私钥验证
GitHub允许将SSH私钥上传绑定到账户。KeyHacks提供了直接用私钥验证归属的方法:
ssh -i <path_to_private_key> -T git@github.com返回Hi ! You've successfully authenticated, but GitHub does not provide shell access.意味着私钥有效,且对应GitHub用户名为。
这条信息在社会工程学和横向移动中价值巨大——一个私钥就能定位真实身份。
六、适用人群
- 渗透测试工程师:快速验证凭证有效性,提升报告专业度
- 漏洞赏金猎人:减少无效提交,提升hunter信誉
- 安全研究员:供应链安全审查、代码泄漏监控
- 企业安全团队:内部凭证回收审计、DevSecOps集成
- 蓝队成员:监控自身资产是否泄漏,防守先行
七、项目信息
- GitHub:github.com/streaak/keyhacks
- 语言:纯Markdown文档,无需安装,复制即用
- 更新频率:持续更新,社区贡献活跃
- 星标:10k+
- 许可证:MIT
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容