SauronEye: Búsqueda de Palabras Claves Específicas

SauronEye es una herramienta de búsqueda construida para ayudar a los equipos rojos a encontrar archivos que contengan palabras clave específicas.

Características

• Buscar en múltiples unidades (de red)
• Buscar el contenido de los archivos
• Busca en el contenido de los archivos de Microsoft Office (.doc, .docx, .xls, .xlsx)
• Encuentra macros VBA en viejos archivos .xls y .doc de 2003
• Busca en varias unidades con múltiples hilos para aumentar el rendimiento
• Soporta expresiones regulares en las palabras clave de búsqueda
• Compatible con Cobalt Strike execute-assembly

También es bastante rápido, puedes hacer archivos de 50k, totalizando 1,3 TB en una unidad de red en menos de un minuto (con filtros de archivos realistas). Busca un C:\ (en un SSD SATA barato) en unos 15 segundos.

Ejemplos de Uso

C:\>SauronEye.exe -d C:\Users\vincent\Desktop\ --filetypes .txt .doc .docx .xls --contents --keywords password pass* -v`
         === SauronEye ===
Directories to search: C:\Users\vincent\Desktop\
For file types: .txt, .doc, .docx, .xls
Containing: wacht, pass
Search contents: True
Search Office 2003 files for VBA: True
Max file size: 1000 KB
Search Program Files directories: False
Searching in parallel: C:\Users\vincent\Desktop\
[+] C:\Users\vincent\Desktop\test\wachtwoord - Copy (2).txt
[+] C:\Users\vincent\Desktop\test\wachtwoord - Copy (3).txt
[+] C:\Users\vincent\Desktop\test\wachtwoord - Copy.txt
[+] C:\Users\vincent\Desktop\test\wachtwoord.txt
[+] C:\Users\vincent\Desktop\pass.txt
[*] Done searching file system, now searching contents
[+] C:\Users\vincent\Desktop\pass.txt
         ...the admin password=admin123...
[+] C:\Users\vincent\Desktop\test.docx:
         ...this is a testPassword = "welkom12...
 Done. Time elapsed = 00:00:01.6656911

Busca en varios directorios, incluyendo unidades de red:

SauronEye.exe --directories C:\ \\SOMENETWORKDRIVE\C$ --filetypes .txt .bat .docx .conf --contents --keywords password pass*

Busca rutas y compartimentos que contengan espacios:

SauronEye.exe -d "C:\Users\user\Path with a space" -d "\\SOME NETWORK DRIVE\C$" --filetypes .txt --keywords password pass*

C:\>SauronEye.exe --help
         === SauronEye ===
Usage: SauronEye.exe [OPTIONS]+ argument
Search directories for files containing specific keywords.
Options:
  -d, --directories=VALUE    Directories to search
  -f, --filetypes=VALUE      Filetypes to search for/in
  -k, --keywords=VALUE       Keywords to search for
  -c, --contents             Search file contents
  -m, --maxfilesize=VALUE    Max file size to search contents in, in kilobytes
  -b, --beforedate=VALUE     Filter files last modified before this date,
                                format: yyyy-MM-dd
  -a, --afterdate=VALUE      Filter files last modified after this date,
                                format: yyyy-MM-dd
  -s, --systemdirs           Search in filesystem directories %APPDATA% and %
                               WINDOWS%
  -v, --vbamacrocheck        Check if 2003 Office files (*.doc and *.xls)
                               contain a VBA macro
  -h, --help                 Show help

NOTA: SauronEye no busca %WINDIR% y %APPDATA%. Usa la opción --systemdirs para buscar en el contenido de Program Files*.

SauronEye se basa en una funcionalidad que solo está disponible en .NET 4.7.2, y por lo tanto requiere >= .NET 4.7.2 para funcionar.

Dark Mode

SauronEye (este enlace se abre en una nueva ventana) por vivami (este enlace se abre en una nueva ventana)

Search tool to find specific files containing specific words, i.e. files containing passwords..

15 suscriptores 565 observadores 86 forks Echa un vistazo a este repositorio en GitHub.com (este enlace se abre en una nueva ventana)