.git文件夹信息泄露漏洞利用

最新推荐文章于 2024-05-27 10:17:21 发布
最新推荐文章于 2024-05-27 10:17:21 发布
阅读量3.7k 收藏 3
点赞数 6
分类专栏: 渗透测试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ddchggf/article/details/126270503
版权

未经授权请勿利用文章中的技术 资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果 和损失,均由使用者本人负责。

无意中使用x-ray被动扫描,扫描出了一个git文件信息泄露。

漏洞原理

通过手动验证确实可以下载到.git配置文件(.git文件夹是来自于git开源的分布式版本控制系统),由于把.git文件夹直接部署到线上环境,导致.git文件夹泄露,导致源码泄露,包括含有数据库配置文件的源代码,进而实现利用。

利用方法

GitHack 是一个.git 泄露利用脚本,通过泄露的.git 文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,githack是最常用的工具,它是通过.git/index,找到第一个hash值。

下载地址:https://github.com/lijiejie/GitHack

python githack.py http://xx.xxx.xx/.git

将泄露文件下载到本地,查看是否有敏感信息文件,发现存在database数据库连接源代码,存在登录信息。

 漏洞修复建议

.git文件夹不直接部署到线上环境。

 

 

san1one
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
漏洞挖掘】——59、Git信息泄露漏洞检测利用
Fly_鹏程万里
10-20 1126
Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除直接发布到服务器上攻击者就可以通过它来恢复源代码。
Githack:利用git目录结构读取源代码工具
03-24
吉特哈克 GitHack是.git文件夹公开漏洞利用。 它从.git文件夹重建源代码,同时保持目录结构不变。 GitHack是一个.git整合利用脚本,通过重定向的.git文件夹下的文件,重建还原工程源代码。 渗透测试人员,攻击者,可以进一步审核代码,挖掘:文件上传,SQL注射等安全漏洞。 脚本的工作原理 解析.git / index文件,找到工程中所有的:(文件名,文件sha1) 去.git / objects /文件夹下下载对应的文件 zlib解压文件,按原始的目录结构写入源代码 它的优点 速度快,至少20个工作线程 尽量还原所有的源代码,删除部分文件不影响脚本工作 脚本不需要执行额外的git命令,所有您需要的是python 脚本无需浏览目录 可能的改进## 存在文件被gc打包到git \ objects \ pack的情况,以后可测试下看能否直接获取并解压这个文件,还原源代码 #
常见的Web源码泄漏漏洞
qq_50854662的博客
07-12 2335
常见的Web源码泄漏漏洞
Git严重漏洞,远程执行代码,Mac和Windows通杀!
最新发布
IT界那些事儿
05-27 8133
不得了了,家人们!就在这几天,Git爆出了一个严重漏洞,编号,一个可以远程执行代码的RCE漏洞!攻击者精心准备一个Git项目,只要你尝试去Clone它,你的电脑就能执行攻击代码沦陷。比如下面这个GitHub上面的项目:你可以执行一下下面的命令:不出意外的话,你的电脑将会弹出计算器程序:能让你弹计算器,就能执行其他更危险的操作,比如给你种木马等等。Git是我们程序员基本离不开的工具,这波漏洞操作,属实是对程序员定向打击了。接下来我们来理一理这个漏洞的工作原理是怎么样的。
git泄露漏洞总结
weixin_66839513的博客
04-02 2324
Git泄露是指在使用Git版本控制系统时,由于配置不当或者操作失误,导致敏感信息(如密码、密钥、源代码等)被意外地上传到公开的代码仓库或者其他公开可访问的地方,从而被未授权的人获取到。
git泄露漏洞
TItaniumLJA的博客
11-23 5750
git简介 git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git目录 config - 包含一些配置选项 description - 仓库的描述信息,主要给gitweb等git托管系统使用 HEAD - 指定
Git泄露相关知识点
2201_75437983的博客
10-18 1395
点开看了以后里面什么都没有,注意这里一定要进去到了文件里面以后再打开终端,执行git log,git log 显示到HEAD所指向的commit为止的所有commit记录,简单说来就是可以查看之前版本的记录(删除了的看不见),git reflog和git log功能一样(删除了的也能查看)。可以看到我们git log以后我们能看到三个版本的哈希值,一个是现在所在的版本(remove flag),一个是前版本(add flag),一个是初始化的版本(init),而我们现在的版本大家也看到的是空白的一个文件
Git信息泄露原理解析及利用总结
热门推荐
wulanlin的博客
01-10 1万+
前言 最近,在和一些人聊天的过程中发现,好多人可以很从容淡定的说出信息收集需要收集Git信息泄露,至于深入的去谈这个漏洞产生的原理时,貌似不太直到这个问题以及相关工具的原理是什么?但作为小白的我始终觉得,对于一个问题只有深入的了解它的原理,并且利用的核心思想才能更好的挖掘和利用它。(可能思想有些“吹毛求疵”了,欢迎大佬们来指教) 那这篇文章,我就尝试从原理上分析一下这个漏洞以及漏洞的利用思想吧!(当然,借鉴了很多前辈的文章,感谢前辈们的分享) 一、Git简介 官方给出的解释是:Git是一个开源的分布
攻防世界 mfw(Git源码泄露与命令执行漏洞
Welcome To Myon'Blog !
06-01 2280
Git 源码泄露: 1、strpos() 函数 2、assert()函数 3、file_exists() 函数 4、die()函数 代码审计: 命令执行漏洞
Githack(Git泄露利用必备工具)
07-09
如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞GitHack是一个.git泄露利用测试脚本,通过泄露文件,还原重建工程源代码。 Git信息泄露的危害很大,渗透测试人员、攻击者,可...
Git信息泄露-01ppt
09-15
Git信息泄露原理是指通过泄露的.git文件夹下的文件,重建工程源代码。攻击者可以通过解析.git/index文件,找到工程中所有的文件名和文件SHA1值,然后从.git/objects/文件夹下下载对应的文件,最后使用zlib解压文件,...
GitHack-master.rar
07-20
GitHack 是一个专门为安全研究人员和渗透测试人员设计的工具,其主要目的是利用不慎泄露的 .git 文件夹来恢复和分析目标项目的源代码。这个工具的出现揭示了在网络安全中一个重要的方面,即对版本控制系统的保护。....
常见poc漏洞模块,直接导入用。
07-22
在IT安全领域,POC(Proof of Concept)漏洞利用代码是指一种验证安全漏洞存在性的简化的程序或脚本。标题提到的"常见poc漏洞模块,直接导入用"表明这是一组可以被直接用于测试系统是否存在某些特定漏洞的代码模块。...
blog-master.zip
09-21
例如,确保不泄露敏感信息,使用HTTPS进行加密传输,以及定期更新依赖库以防止安全漏洞。 总的来说,"风宇的博客"的"blog-master.zip"文件很可能是一个完整的博客项目,包括了源码、配置、内容和样式资源。通过解压...
LWN: Git中的一个漏洞
Linux News搬运工
03-23 288
关注了就能看到更多这么棒的文章哦~A vulnerability in GitBy Jake EdgeMarch 10, 2021DeepL assisted translationhtt...
Git泄露_Log
Mr_admin的博客
09-23 1988
刚开始的时候不知道git命令,直接百度。做后确定命令格式为:python2 GitHack.py http://challenge-4e45df1c40b42551.sandbox.ctfhub.com:10800/.git/当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。我用的是新版kali环境做的题目(kali日期为2022-3,这个版本安装了python2和python3。后面使用命令要注意,我在这里踩坑了。先是捣鼓git软件怎么使用。
Git文件泄露利用
tpaer的博客
08-02 1830
在开发提交代码或打包项目的过程中,如果配置不当,可能会将.git文件夹直接部署到线上环境。这就可能会引起git泄露漏洞
七、信息泄露[git、vim]
黑日里不灭的light
10-23 793
解释:Git信息泄露是指通过公开或错误地配置版本控制系统Git,导致敏感数据(例如API密钥、数据库密码、个人信息等)被泄露到公共代码仓库或其他未授权的访问者手中。通俗来说,在公网暴露类似(将.git目录直接被人访问)将会导致源码被人下载查看到。
web中git漏洞的形成的原理及使用
qq_61988806的博客
02-24 956
web中git漏洞的形成的原理
.git文件夹可以删除吗
01-25
.git文件夹Git版本控制系统的核心文件夹,它包含了版本历史记录、分支信息等重要数据。一般情况下,不建议直接删除.git文件夹,因为这可能会导致版本控制系统的损坏或数据丢失。但是,如果你确实需要删除.git文件夹,可以按照以下方法进行操作: 1. 在命令行中进入你的本地仓库目录。 2. 使用以下命令删除.git文件夹: ```shell rm -rf .git ``` 请注意,这个命令会直接删除.git文件夹及其所有内容,所以请确保你真的想要删除它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值