来源：无影安全实验室提供
## 0x01 工具介绍

在日常渗透测试、代码审计或源码泄漏排查中，最令人头疼的就是**硬编码密钥、云服务器AK/SK、手机号、身份证号、数据库连接串**等敏感信息散落在文件角落里，人工翻找效率低下，还容易遗漏，错过关键信息。

于是开发了“掘地三尺”这个信息收集工具，该工具支持渗透测试时候常遇到的场景，例如获取了网站源码、web前端js、html等文件、或者反编译APP和小程序获取到源码后，要去查找源码里面的敏感信息，例如身份证号、密码、AK/SK、地图调用Key、加密密钥、小程序密钥等信息，那么就可以用掘地三尺来帮你高效完成。

## 0x02 工具功能

工具内置的敏感信息提取规则近百条，是结合网上公开正则以及多年实战渗透测试经验，提炼出来的正则规则，覆盖云安全、小程序、APP、web等常见敏感信息泄露类型，使用的时候只需要选择需要扫描的文件即可，支持递归多层文件夹扫描，即使是藏在最深层文件夹中的文件敏感信息，也能精准获取，不仅可以获取敏感信息，还可以精准定位泄露的位置，以及通过工具对泄露位置的上下文进行预览。

部分敏感信息类型如下：

🔑 **高危**：密码、各种云平台 AccessKey（阿里/腾讯/京东/百度/字节/金山/谷歌）、微信 sessionkey、webhook、JWT 令牌、AWS Key、Google OAuth Token 等。

📱 **中危**：手机号、身份证、邮箱、内网/公网 IP、MAC 地址、URL、微信公众号/小程序 APPID、企业微信/钉钉 corpid 、加密密钥等。

☁️ **低危**：各类云存储桶（阿里/腾讯/华为/亚马逊/百度/谷歌/微软/京东）、地图调用密钥等。

🧩 **额外检测**：Swagger、Druid 路径、SQL 错误信息、目录遍历特征、SSRF 参数、JSONP 回调参数、Source Map 文件等。

**其它功能**：  
✅ 支持按风险等级（高/中/低）和数据类型快速筛选  
✅ 结果表格一键导出（TXT / JSON / CSV 三种格式）  
✅ 双击任意记录，**高亮显示命中行 + 上下文 5 行**（HTML 渲染，敏感信息标红）  
✅ 右键单条复制、单条导出、单条删除（仅从结果移除）  
✅ 智能去重（URL、微信公众号 APPID 等重复项只保留一次）  
✅ 自动跳过二进制文件（.dex/.apk/.png/.jar 等），扫描效率极高  
✅ 实时进度条 + 当前文件提示，大文件扫描不焦虑

## 0x03 工具演示

1、对一个小程序进行反编译，得到了源码文件

![图片](/media/202604/f2510e2d74654f5eb0adf6c3c7eea7fa1012.png)

2、打开掘地三尺

```
java -jar DigDeep.jar
```

3、选中小程序反编译后的源码文件夹，点击开始扫描，可看到扫描出大量敏感信息，包括身份证、手机号、IP地址、邮箱📮、密码等。

![图片](/media/202604/9e57c3fee0724adba09789b53ffc21b38246.png)

![图片](/media/202604/2fe54b9822ed45e8b3c14d1caf0483a41537.png)

4、双击其中的任意一条敏感信息，可以预览泄露位置的上下文（敏感信息，会以红色高亮显示），且会显示泄露信息具体的文件位置。

![图片](/media/202604/ebdb0adb443f41d297ec3cfdce4a5f819724.png)

## 0x04 工具下载

```
https://github.com/shine798/DigDeep
```

应用敏感信息提取神器