SauronEye es una herramienta de búsqueda construida para ayudar a los equipos rojos a encontrar archivos que contengan palabras clave específicas.
Características
- Buscar en múltiples unidades (de red)
- Buscar el contenido de los archivos
- Busca en el contenido de los archivos de Microsoft Office (
.doc,.docx,.xls,.xlsx) - Encuentra macros VBA en viejos archivos
.xlsy.docde 2003 - Busca en varias unidades con múltiples hilos para aumentar el rendimiento
- Soporta expresiones regulares en las palabras clave de búsqueda
- Compatible con Cobalt Strike
execute-assembly
También es bastante rápido, puedes hacer archivos de 50k, totalizando 1,3 TB en una unidad de red en menos de un minuto (con filtros de archivos realistas). Busca un C:\ (en un SSD SATA barato) en unos 15 segundos.
Ejemplos de Uso
C:\>SauronEye.exe -d C:\Users\vincent\Desktop\ --filetypes .txt .doc .docx .xls --contents --keywords password pass* -v`
=== SauronEye ===
Directories to search: C:\Users\vincent\Desktop\
For file types: .txt, .doc, .docx, .xls
Containing: wacht, pass
Search contents: True
Search Office 2003 files for VBA: True
Max file size: 1000 KB
Search Program Files directories: False
Searching in parallel: C:\Users\vincent\Desktop\
[+] C:\Users\vincent\Desktop\test\wachtwoord - Copy (2).txt
[+] C:\Users\vincent\Desktop\test\wachtwoord - Copy (3).txt
[+] C:\Users\vincent\Desktop\test\wachtwoord - Copy.txt
[+] C:\Users\vincent\Desktop\test\wachtwoord.txt
[+] C:\Users\vincent\Desktop\pass.txt
[*] Done searching file system, now searching contents
[+] C:\Users\vincent\Desktop\pass.txt
...the admin password=admin123...
[+] C:\Users\vincent\Desktop\test.docx:
...this is a testPassword = "welkom12...
Done. Time elapsed = 00:00:01.6656911Busca en varios directorios, incluyendo unidades de red:
SauronEye.exe --directories C:\ \\SOMENETWORKDRIVE\C$ --filetypes .txt .bat .docx .conf --contents --keywords password pass*Busca rutas y compartimentos que contengan espacios:
SauronEye.exe -d "C:\Users\user\Path with a space" -d "\\SOME NETWORK DRIVE\C$" --filetypes .txt --keywords password pass*C:\>SauronEye.exe --help
=== SauronEye ===
Usage: SauronEye.exe [OPTIONS]+ argument
Search directories for files containing specific keywords.
Options:
-d, --directories=VALUE Directories to search
-f, --filetypes=VALUE Filetypes to search for/in
-k, --keywords=VALUE Keywords to search for
-c, --contents Search file contents
-m, --maxfilesize=VALUE Max file size to search contents in, in kilobytes
-b, --beforedate=VALUE Filter files last modified before this date,
format: yyyy-MM-dd
-a, --afterdate=VALUE Filter files last modified after this date,
format: yyyy-MM-dd
-s, --systemdirs Search in filesystem directories %APPDATA% and %
WINDOWS%
-v, --vbamacrocheck Check if 2003 Office files (*.doc and *.xls)
contain a VBA macro
-h, --help Show helpNOTA: SauronEye no busca %WINDIR% y %APPDATA%. Usa la opción --systemdirs para buscar en el contenido de Program Files*.
SauronEye se basa en una funcionalidad que solo está disponible en .NET 4.7.2, y por lo tanto requiere >= .NET 4.7.2 para funcionar.
SauronEye (este enlace se abre en una nueva ventana) por vivami (este enlace se abre en una nueva ventana)
Search tool to find specific files containing specific words, i.e. files containing passwords..
