RipFran/googleSpray

# googleSpray ## 概述 `googleSpray` 是一款针对 Google 平台的基于浏览器的认证评估工具。 它支持两种截然不同的操作： * 针对 Google Workspace / Google Account 登录流程的**用户枚举** * 使用单一密码跨多个账户进行的**密码喷洒** 该工具通过 `puppeteer-real-browser` 使用真实的 Chromium 浏览器，以模拟 合法用户行为，并根据页面状态、 URL 跳转和响应内容来评估认证结果。 结果以 JSON Lines (JSONL) 格式写入，以便于后续处理 和关联分析。 ## 功能特性 * 真实浏览器执行 * 无需提交密码的用户枚举 * 具有受控速率限制的密码喷洒 * 代理支持（可选认证） * 无头 和非无头执行模式 * 重试逻辑和失败处理 * 用于取证和故障排除的屏幕截图捕获 * JSONL 结构化输出 ## 环境要求 * Node.js ≥ 18 * 兼容 Chromium 的浏览器（捆绑或系统安装） * 访问 Google 认证端点的网络权限 ## 安装说明 克隆仓库并安装依赖： ``` git clone https://github.com/RipFran/googleSpray.git cd googleSpray npm install ``` ## 使用说明 该工具提供两个命令：`enum` 和 `spray`。 ### 用户枚举 枚举有效的 Google 账户而无需尝试认证： ``` node googleSpray.js enum -U users.txt -o enum_results.jsonl ``` 单用户枚举： ``` node googleSpray.js enum -u user@example.com ```  ### 密码喷洒 使用单一密码执行密码喷洒： ``` node googleSpray.js spray -U users.txt -p Winter2024! -o spray_results.jsonl ```  ## 通用选项 | 选项 | 描述 | | ------------------------ | -------------------------------------------------- | | `-U, --users ` | 包含目标邮箱地址的文件 | | `-u, --user ` | 单个目标邮箱 | | `-p, --password ` | 密码字符串 (仅限 spray) | | `--proxy ` | 代理配置 (`http://user:pass@host:port`) | | `--headless` | 以无头模式运行浏览器 | | `-i, --interval ` | 尝试之间的延迟 (默认: 5000) | | `-o, --output ` | JSONL 输出文件 | | `--screenshots` | 启用屏幕截图捕获 | | `--screenshot-dir ` | 屏幕截图输出目录 | | `-v, --verbose` | 详细日志记录 | ## 输出格式 每次执行都会以 JSONL 格式为每个目标生成一个 JSON 对象： ``` { "status": "VALID_USER", "detail": "Account Exists", "elapsedMs": 3421, "module": "enum", "target": "user@example.com", "timestamp": "2026-01-20T08:31:12.123Z" } ``` 可能的状态包括： * `VALID_USER` * `INVALID_USER` * `AUTH_FAILED` * `SUCCESS` * `UNKNOWN_ERROR` * `CONNECTION_ERROR` ## 法律与道德声明 本工具仅供经系统所有者明确授权的授权安全测试、内部审计 和研究活动使用。 针对第三方账户或服务的未经授权使用可能违反适用的 法律和服务条款。

标签：Chromium, GNU通用公共许可证, Google Workspace, MITM代理, Node.js, OWASP ASVS, Puppeteer, SOC/蓝队监测, VEH, 字典攻击, 密码喷洒, 时序数据库, 浏览器自动化, 用户枚举, 网络安全, 自动化安全评估, 自定义脚本, 自定义脚本, 账户接管, 身份验证攻击, 隐私保护