{"id":15015440,"url":"https://github.com/shellvon/smsbomb","last_synced_at":"2025-04-04T09:09:25.507Z","repository":{"id":32015415,"uuid":"131383148","full_name":"shellvon/smsBomb","owner":"shellvon","description":"短信💣炸🐔","archived":false,"fork":false,"pushed_at":"2023-05-22T21:34:29.000Z","size":2323,"stargazers_count":676,"open_issues_count":10,"forks_count":172,"subscribers_count":21,"default_branch":"master","last_synced_at":"2025-04-04T09:09:19.466Z","etag":null,"topics":["cli","kivy","sms","sms-bomber","smsbomber"],"latest_commit_sha":null,"homepage":"https://von.sh/smsBomb/","language":"Python","has_issues":true,"has_wiki":null,"has_pages":null,"mirror_url":null,"source_name":null,"license":"mit","status":null,"scm":"git","pull_requests_enabled":true,"icon_url":"https://github.com/shellvon.png","metadata":{"files":{"readme":"README.md","changelog":null,"contributing":null,"funding":null,"license":"LICENSE","code_of_conduct":null,"threat_model":null,"audit":null,"citation":null,"codeowners":null,"security":null,"support":null,"governance":null,"roadmap":null,"authors":null,"dei":null,"publiccode":null,"codemeta":null}},"created_at":"2018-04-28T07:07:03.000Z","updated_at":"2025-03-31T03:33:58.000Z","dependencies_parsed_at":"2024-09-24T20:26:50.096Z","dependency_job_id":null,"html_url":"https://github.com/shellvon/smsBomb","commit_stats":{"total_commits":22,"total_committers":3,"mean_commits":7.333333333333333,"dds":"0.13636363636363635","last_synced_commit":"d8f0310391556fd1ef01fae15b56f5019b79297f"},"previous_names":[],"tags_count":0,"template":false,"template_full_name":null,"repository_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/shellvon%2FsmsBomb","tags_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/shellvon%2FsmsBomb/tags","releases_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/shellvon%2FsmsBomb/releases","manifests_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/shellvon%2FsmsBomb/manifests","owner_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners/shellvon","download_url":"https://codeload.github.com/shellvon/smsBomb/tar.gz/refs/heads/master","host":{"name":"GitHub","url":"https://github.com","kind":"github","repositories_count":247149502,"owners_count":20891954,"icon_url":"https://github.com/github.png","version":null,"created_at":"2022-05-30T11:31:42.601Z","updated_at":"2022-07-04T15:15:14.044Z","host_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub","repositories_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories","repository_names_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repository_names","owners_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners"}},"keywords":["cli","kivy","sms","sms-bomber","smsbomber"],"created_at":"2024-09-24T19:47:28.386Z","updated_at":"2025-04-04T09:09:25.483Z","avatar_url":"https://github.com/shellvon.png","language":"Python","readme":"# smsBomb\n\n超级简单易用的短信💣轰炸🐔\n\n# 使用说明\n\n本程序使用 Python 3.6.4 在 Mac 上开发，不兼容 Python 2.x。如果多版本 Python, 您可以尝试 PyEnv 或者 Anaconda\n\n#### CLI 版本\n\n![截图效果](./screenshot/bomb-cli.png)\n\n```\nusage: python -m smsBomb [-h] -t TARGET [-n TIMES]\n                         [-p {aliyun,cl253,juhe,luosimao,miaodi,netease,normal,smsbao,tencent,ucp,yunpian}]\n                         [-c CONFIG] [--process PROCESS_NUM] [-m MESSAGE] [-v]\n                         [-x PROXY]\n\n\n短信轰炸机\n\noptional arguments:\n  -h, --help            show this help message and exit\n  -t TARGET, --target TARGET\n                        指定攻击目标手机号\n  -n TIMES, --times TIMES\n                        指定攻击次数,默认10\n  -p {aliyun,cl253,juhe,luosimao,miaodi,netease,normal,smsbao,tencent,ucp,yunpian}, --product {aliyun,cl253,juhe,luosimao,miaodi,netease,normal,smsbao,tencent,ucp,yunpian}\n                        使用指定产品攻击,比如网易netease/云之讯/创蓝253/腾讯云/阿里云\n  -c CONFIG, --config CONFIG\n                        指定配置文件\n  --process PROCESS_NUM\n                        进程数,默认5\n  -m MESSAGE, --message MESSAGE\n                        自定义的消息体,如果支持的话\n  -v, -verbose          日志级别,-v,-vv,-vvv\n  -x PROXY, --proxy PROXY\n                        设置发起请求时的代理http/https,如果没设置将自动尝试环境变量 HTTP_PROXY 和\n                        HTTPS_PROXY\n\nSee https://von.sh/smsBomb\n\n```\n\n#### GUI 版本\n\n您可以执行 `python -m smsBomb.gui` 执行，效果图如下:\n\n![截图效果](./screenshot/bomb-gui.png)\n\n\u003e Kivy 程序并没有经过严格的测试,慎用!\n\n\n# 原理\n\n利用 Github 提供的 [Searching-Code](https://help.github.com/articles/searching-code/) 搜索一些安全意识薄弱的用户不小心泄漏出来的敏感信息。\n\n以 PHP 项目为例子:\n我需要在 `application` 目录下查找所有文件名含有 `config`, 内容中含有 `sms/send` 字样的配置文件 `(in file)` 不搜索 `fork` 的仓库\n\n那么一个完整的搜索语法即为:\n\n\u003e in:file fork:false language:php path:application filename:config  sms/send\n\n这些搜索结果里面会包含一些如阿里云/腾讯云/创蓝等云服务商的 `app_key` 或者 `app_secret` 等\n\n本项目即使利用这些敏感信息，再根据官方文档利用 [requests](https://github.com/requests/requests/) 编写一些简单的签名算法完整请求即可。\n\n目前，项目中实现了以下服务商提供的短信发送服务:\n\n\n#### 目前支持的短信渠道\n\n\n+ [螺丝帽:luosimao](https://luosimao.com/)\n+ ~~[赛邮:submail](https://www.mysubmail.com)~~\n+ [网易:netease](http://dev.netease.im/docs/product/%E7%9F%AD%E4%BF%A1/%E7%9F%AD%E4%BF%A1%E6%8E%A5%E5%8F%A3%E6%8C%87%E5%8D%97)\n+ [创蓝253:cl253](https://zz.253.com/v5.html)\n+ [云之讯:ucp](http://www.ucpaas.com/)\n+ [短信宝:smsbao](http://api.smsbao.com/)\n+ [云片:yunpian](https://www.yunpian.com/)\n+ [腾讯:tencent](https://cloud.tencent.com/document/product/382/5808)\n+ [秒滴云:miaodi](http://www.miaodiyun.com/)\n+ [聚合数据:juhe](https://www.juhe.cn/)\n+ [阿里大鱼:aliyun](https://dayu.aliyun.com/)\n\n当然还有一些小众的可以直接使用通用类进行发送 即指定 `-p normal`\n\n# 配置说明\n\n默认配置: `config/sms.json`\n\n\u003e Note: 此配置由于年久失修,除阿里云外其他均失效,请自行检索配置新的数据.\n\n配置内容是一个数组, 其中每一个元素代表一个可用于攻击的产品配置, 其中字段说明参见下表:\n\n#### 字段说明\n\n| 字段    | 类型  | 含义  | 是否必须  | 其他说明  |\n|-------  |----|---|---|---|\n| product | string | 产品名,自己取  | 是   |   |\n| desc    | string | 产品描述,用于人看  | 否  |   |\n| source  | string | 表示配置来源  | 否  |   |\n| auth    | object | 授权信息, k-v 形式,具体对 key 依赖于产品  | 否  |   |\n| payloads| object | 需要提交的请求参数 | 否 | 此配置依赖于产品 |\n| api     | string | 请求地址     | 否 | 如果写了此API地址则请求发起至此API，否则发起之对应产品的默认配置 API, 参见 API_URLS |\n| method  | string | 请求方式     | 否 | 默认为GET请求,此配置依赖于各产品如何实现 `send` 方法的 |\n| enable_custom_msg| bool | 是否支持自定义消息体| 否| 默认是不支持,如果设置true,参数 `-m` 中的消息将作为短信内容进行发送|\n| weight  | int    | 权重        | 否 | 默认值1,最小1,当 `weight` 为0则标志为节点不可以用,此数字越大代表被选中的概率越大|\n\n\n# 发散思维\n\n敏感信息不仅仅有短信，您也可以搜索其他敏感的信息，比如数据库地址/账户信息\n\n以国内较多 ThinkPHP 网站为例子:\n\n\u003e path:application language:PHP hostname 服务器地址 NOT 127.0.0.1\n\n其中我们可以发现许多数据库直接公之于众的，当然其中也不乏如身份证信息\u0026账户支付信息的重要信息.\n\n\n# 其他说明\n\n利用 Github 的搜索接口目前仅能搜索到 `master` 分支(设置的主分支), 如果需要搜索到其他分支以及其提交记录,\n可以尝试使用 [truffleHog](https://github.com/dxa4481/truffleHog) 等工具\n\n比如结合 PyGithub 调用 Github 的搜索接口，将搜索到的重要的一些 repo 再利用 truffleHog 尝试深挖。\n\n\n# 程序结构:\n\n```\n\n├── LICENSE\n├── README.md\n├── config\n│   └── sms.json            \u003c--- 配置文件, 参见上方原理以及配置说明\n├── requirements-gui.txt    \u003c--- GUI 版本依赖\n├── requirements.txt        \u003c--- CLI 版本依赖\n├── screenshot              \u003c--- 截屏文件,用于readme\n│   └── bomb-gui.png\n└── smsBomb\n    ├── __init__.py\n    ├── __main__.py\n    ├── cli.py              \u003c--- CLI 版本主程序,请执行python -m smsBomb\n    ├── data                \u003c-- GUI程序使用的图片及其字体\n    │   ├── bomb.png\n    │   └── fzht.ttf\n    ├── gui.py              \u003c--- 截GUI 版本主程序,请执行 python -m smsBobm.gui 运行\n    ├── plugins             \u003c-- 插件目录,每一个文件可支持一种产品的攻击形式\n    │   ├── aliyun.py\n    │   ├── cl253.py\n    │   ├── juhe.py\n    │   ├── luosimao.py\n    │   ├── miaodi.py\n    │   ├── netease.py\n    │   ├── normal.py\n    │   ├── smsbao.py\n    │   ├── tencent.py\n    │   ├── ucp.py\n    │   └── yunpian.py\n    ├── smsBomb.py          \u003c-- 程序逻辑\n    └── smsbomb.kv          \u003c-- GUI描述文件\n\n```\n\n\n# 本项目仅供学习研究，请勿用于非法用途!!!!!!!!!!!\n\n# ChangeLog\n\n#### 2018-10-16\n\n+ 修复云片网接口返回不规范导致indexError\n\n#### 2018-05-31\n\n+ 删除一些没有用的配置(比如人家已经修改了密码)\n+ 修复None不能得unpack以及无法获取到自定义模版消息的BUG\n\n#### 2018-05-12\n\n+ 调整修改日志级别\n+ 调整程序目录结构(修改为 -m 模块化执行, cli/gui 更突出功能与作用)\n+ 调整文档\n\n#### 2018-05-09\n\n+ 更新文档\n+ GUI 版本增加自定义消息功能(增加字体库以支持中文)\n+ 修复时间格式错误以及编码错误 [#2](https://github.com/shellvon/smsBomb/pull/2) By [@williamzhanggg](https://github.com/williamzhanggg)\n\n#### 2018-05-07\n\n+ 增加 [Kivy](https://github.com/kivy/kivy) 编写 GUI 程序\n+ 优化调整 `smsBomb.start` 支持进度回调\n+ 修复 log 在 Kivy 框架下不展示的 BUG, 参见 [kivy/kivy#4113](https://github.com/kivy/kivy/issues/4113)\n\n#### 2018-05-03\n\n+ 支持设置 `http/https` 代理,使用参数 `-x, --proxy` 指定\n+ 更新发起时请求头\n+ ~~移除 submail 的支持~~\n+ 将原来的 **随机算法** 修改为 **加权随机负载均衡** 算法， 配置文件增加 `weight` 参数用于此操作。\n+ 支持简单的故障节点剔除(当没有可用的节点时会认为所有节点都可用,但并不会专门的做探活)\n+ 增加攻击进度( `-v/--verbose` 可看)\n\n#### 2018-05-02\n\n+ 增加 colored log 日志配置\n+ 增加 `-v/--verbose` 参数命令用于调试\n+ 增加 `get_msg_content` 方法用于智能获取发送的短信内容(依据不同产品决定是否可以使用 `-m` 参数作为短信内容)\n\n#### 2018-04-28\n\n+ 单一文件改为插件化形式，动态支持加载 plugins 目录下的其他短信产品.\n+ 初版发布\n\n\n# 已知 BUGs.\n\n+ 使用 PyInstaller 打完包之后提示 `Unable to find any valuable Window provider`.\n+ `Ctrl + C` 在 multiptoceessing 下还未处理\n","funding_links":[],"categories":[],"sub_categories":[],"project_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fshellvon%2Fsmsbomb","html_url":"https://awesome.ecosyste.ms/projects/github.com%2Fshellvon%2Fsmsbomb","lists_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fshellvon%2Fsmsbomb/lists"}