# 掘地三尺（DigDeep）
项目地址：https://github.com/shine798/DigDeep
[](https://github.com/shine798/DigDeep#%E6%8E%98%E5%9C%B0%E4%B8%89%E5%B0%BAdigdeep)

掘地三尺（DigDeep）：覆盖云安全 、小程 序、APP、web等常见敏感信息泄露类型，一键挖掘源码中的密码/密钥/手机号/身份证/云AK等近百类敏感数据。

### 工具介绍：

[](https://github.com/shine798/DigDeep#%E5%B7%A5%E5%85%B7%E4%BB%8B%E7%BB%8D)

在日常渗透测试、代码审计或源码泄漏排查中，最令人头疼的就是硬编码密钥、云服务器AK/SK、手机号、身份证号、数据库连接串等敏感信息散落在文件角落里，人工翻找效率低下，还容易遗漏，错过关键信息。

于是开发了“掘地三尺”这个信息收集工具，该工具支持渗透测试时候常遇到的场景，例如获取了网站源码、web前端js、html等文件、或者反编译APP和小程序获取到源码后，要去查找源码里面的敏感信息，例如身份证号、密码、AK/SK、Swagger路径等信息，那么就可以用掘地三尺来帮你高效完成。

### 工具功能：

[](https://github.com/shine798/DigDeep#%E5%B7%A5%E5%85%B7%E5%8A%9F%E8%83%BD)

工具内置的敏感信息提取规则近百条，是结合网上公开正则以及本人多年渗透测试经验，提炼出来的正则规则，覆盖云安全、小程序、APP、web等常见敏感信息泄露类型，使用的时候只需要选择需要扫描的文件即可，支持递归多层文件夹扫描，即使是藏在最深层文件夹中的文件敏感信息，也能精准获取，不仅可以获取敏感信息，还可以精准定位泄露的位置，以及通过工具对泄露位置的上下文进行预览。

**部分敏感信息类型如下：** 🔑 高危：密码、各种云平台 AccessKey（阿里/腾讯/京东/百度/字节/金山/谷歌）、微信 sessionkey、webhook、JWT 令牌、AWS Key、Google OAuth Token 等。 📱 中危：手机号、身份证、邮箱、内网/公网 IP、MAC 地址、URL、微信公众号/小程序 APPID、企业微信/钉钉 corpid 、加密密钥等。 ☁️ 低危：各类云存储桶（阿里/腾讯/华为/亚马逊/百度/谷歌/微软/京东）、地图调用密钥等。 🧩 额外检测：Swagger、Druid 路径、SQL 错误信息、目录遍历特征、SSRF 参数、JSONP 回调参数、Source Map 文件等。

**其它功能：** ✅ 支持按风险等级（高/中/低）和数据类型快速筛选 ✅ 结果表格一键导出（TXT / JSON / CSV 三种格式） ✅ 双击任意记录，高亮显示命中行 + 上下文 5 行（HTML 渲染，敏感信息标红） ✅ 右键单条复制、单条导出、单条删除（仅从结果移除） ✅ 智能去重（URL、微信公众号 APPID 等重复项只保留一次） ✅ 自动跳过二进制文件（.dex/.apk/.png/.jar 等），扫描效率极高 ✅ 实时进度条 + 当前文件提示，大文件扫描不焦虑

### 使用教程：

[](https://github.com/shine798/DigDeep#%E4%BD%BF%E7%94%A8%E6%95%99%E7%A8%8B)

详细使用教程参考：[https://mp.weixin.qq.com/s/BDy\_sTneH8nJ9rUr27GJow](https://mp.weixin.qq.com/s/BDy_sTneH8nJ9rUr27GJow)

1、对一个小程序进行反编译，得到了源码文件

[![](/media/202605/790f6aebe76f4084928ab1985a88aa303218.png)](https://camo.githubusercontent.com/accca187265f4298b3da97cf6d8bb948c5a1af05f91b2961e53549a6162701f9/68747470733a2f2f6d6d62697a2e717069632e636e2f6d6d62697a5f706e672f4e75756962683362444f77343368795a7633336457506c6c47696278585632346447346f574d535375773368696150696343435049396d7652444f336e6f364d4e66707a453564307252756d76597a317450367169614c436b4d4d71747958784a366b4b696139674c6f486e6230696242672f303f77785f666d743d706e672666726f6d3d6170706d7367)

2、打开掘地三尺

```
java -jar DigDeep.jar
```

3、选中小程序反编译后的源码文件夹，点击开始扫描，可看到扫描出大量敏感信息，包括身份证、手机号、IP地址、邮箱📮、密码等。

[![img](/media/202605/96622e9851be45e6b65a6fc6c34ee7d78947.png)](https://camo.githubusercontent.com/820bda002a04433664ad88a62ea2a9bdc91ca85861d998fe97d8324007a16f71/68747470733a2f2f6d6d62697a2e717069632e636e2f737a5f6d6d62697a5f706e672f4e75756962683362444f773661317736696276576963667a6b726e7147385677557573357242346a686e426f533269636147534a3545746b6c646d55747555724a61543775437873764e543530544562474475474934765230526a3744756961504e7963797066724762567a46696347452f303f77785f666d743d706e672666726f6d3d6170706d7367)

[![img](/media/202605/a539bb488ef34c61b8daed81ecf821418215.png)](https://camo.githubusercontent.com/f207517a5fd1bbca0c2c7335ff746d3175ed4e7711bdbce8898bb474e2f94105/68747470733a2f2f6d6d62697a2e717069632e636e2f737a5f6d6d62697a5f706e672f4e75756962683362444f7736514d374a394b4d50574e527a4347783646334362396963416d687a6b314944747336354c58485330634477734d3551324369636e69613979716a726437586c566648374a4b355a435a6667704e68534f6963704e634b556c464d4a564139364f5a464c592f303f77785f666d743d706e672666726f6d3d6170706d7367)

4、双击其中的任意一条敏感信息，可以预览泄露位置的上下文（敏感信息，会以红色高亮显示），且会显示泄露信息具体的文件位置。

[![img](/media/202605/2a2943446d154e5c861f3189f0d531a81854.png)](https://camo.githubusercontent.com/0ba796f67b022d52d68e9d0790bdbbecdbb15ad4bcbc5fee91a54542cfeb27b7/68747470733a2f2f6d6d62697a2e717069632e636e2f6d6d62697a5f706e672f4e75756962683362444f7736344262744b467172567a4d666752394e307967464234584169637369617467687445744f6869624f4b3969625256536d6c71764236706d325a43636834346a313261366c5535615337733264357642426c59417a6963664d5330416a574c6e6845504c79412f303f77785f666d743d706e672666726f6d3d6170706d7367)

最新版本通知：请关注公众号《无影安全实验室》。

一键挖掘敏感信息泄露