Git信息泄露

最新推荐文章于 2024-03-22 09:54:37 发布
最新推荐文章于 2024-03-22 09:54:37 发布
阅读量724 收藏 3
点赞数 3
文章标签: git
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50627053/article/details/113399329
版权

Git 仓库介绍

1.Git仓库是一个开源分布式版本控制系统,可有效告诉处理从很小到非常大的项目版本管理。
2. 可以通过git init创建一个仓库。

Git 信息泄露原理

通过泄露的.git文件夹下的文件,还原重建工程源代理。
1.解析.git/index文件,找到工程中的所有:(文件名.文件shu1)
2.去.git/objects/文件夹下下载对应的文件
3.zlib解压文件,按原始的目录结构写入源代码

Git实验环境搭建(一下实验显示均在kali上进行)

将git init目录下的内容部署到http服务器上,保留.git目录,git add 文件名,git commit -m “版本信息”
1.选择建立仓库的文件位置 (最好是在/var/www/html 下)
首先在kali中以root身份进入
在这里插入图片描述
2.启动apache,且查看是否启动且显示启动信息
在这里插入图片描述
3.新建文件夹(创建仓库用)
在这里插入图片描述
4.创建仓库(存放在刚新建的文件夹中),且查看是否有.git文件
在这里插入图片描述
5.查看具体信息 (主要ip地址,这个Ip地址可以在浏览器中访问可查看.git文件信息)
在这里插入dddd图片描述
这里面主机ip是192.168.65.135,你可以在浏览器中访问
直接访问Ip地址在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
现在可以在kali中查看.git中的文件是否与浏览器中的.git文件一致
结果显示一致
结果是与浏览器中内容一致。
6.在新建一个flag.txt文件(这个随便写内容)
在这里插入图片描述
在这里插入图片描述
创建文件的时候也可以用gedit 文件名创建
7.将刚创建的文件添加到暂存区并进行提交
在这里插入图片描述

Git信息泄露利用

1.下载:git clone https://github.com/lijiejie/GitHack.git
下载好后直接在根目录下用ls显示
使用python GitHack.py http://192.168.65.120/git_test/.git 编译
在这里插入图片描述

2.进入GitHack ,后使用。
在这里插入图片描述
(GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等安全漏洞。)
GitHack的使用 GitHack.py http://XXXXXXXXXXX/.git/

最后,我们就用GitHack找到了我们隐秘文件flag.txt。

爱哭的猫偷吃猫砂
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GitHack-master
02-13
git源码泄露利用工具,`.git` 泄漏利用工具,可还原历史版本,不需要安装其它 Python 库,只需要有 git 命令
git-hack
02-07
git-hack
GitHack & GitHacker
z1moq的博客
06-11 4352
写这个的原因是在做CTFHub的Git泄露题目时发现GitHack并不能正常将服务器中的 .git 文件正常保存下来,问了问工作室的好哥哥,告诉我GitHack就是有这个问题,使用GitHacker即可,于是记录下此问题 GitHack 下载地址:https://github.com/lijiejie/GitHack GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。 渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。 G.
GitHack_githack_
10-03
githack dddd 用于git
Githack:利用git目录结构读取源代码工具
03-24
吉特哈克 GitHack是.git文件夹公开漏洞利用。 它从.git文件夹重建源代码,同时保持目录结构不变。 GitHack是一个.git整合利用脚本,通过重定向的.git文件夹下的文件,重建还原工程源代码。 渗透测试人员,攻击者,可以进一步审核代码,挖掘:文件上传,SQL注射等安全漏洞。 脚本的工作原理 解析.git / index文件,找到工程中所有的:(文件名,文件sha1) 去.git / objects /文件夹下下载对应的文件 zlib解压文件,按原始的目录结构写入源代码 它的优点 速度快,至少20个工作线程 尽量还原所有的源代码,删除部分文件不影响脚本工作 脚本不需要执行额外的git命令,所有您需要的是python 脚本无需浏览目录 可能的改进## 存在文件被gc打包到git \ objects \ pack的情况,以后可测试下看能否直接获取并解压这个文件,还原源代码 #
Git信息泄露-01ppt
09-15
Git信息泄露 Git是一种开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。通过Git init命令可以创建一个仓库Git仓库中包含了项目的所有版本记录,包括代码文件、配置文件、日志文件...
git源码泄露脚本
12-20
不同于lijiejie所写的git源码获取,不是通过index的相关信息进行获取
Git-Extract
03-30
支持远程 .git 泄露的提取,也支持对本地 .git 路径下文件的提取;不使用 git 命令,完全使用 python 完成对 git 文件的解析;提取历史各版本的文件,并使用 filename.sha1[:6] 格式命名文件,以做区分 恢复项现...
Githack(Git泄露利用必备工具)
07-09
这就引起了git泄露漏洞。 GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。 Git信息泄露的危害很大,渗透测试人员、攻击者,可直接从源码获取敏感配置信息(如:邮箱,数据库),也可以...
GitHack(git泄露 基于python2).rar
09-26
5. Git泄露:学习如何检测和防止Git泄露,包括检查生产环境是否暴露.git目录,以及设置合适的Git忽略规则。 6. 漏洞利用:掌握如何分析和利用从.git目录中获取的信息,例如查看敏感文件、回滚代码或执行代码注入。 ...
GitHack-master.zip
05-23
git源码泄露利用工具,`.git` 泄漏利用工具,可还原历史版本,不需要安装其它 Python 库,只需要有 git 命令
GitHacker::spider_selector:一个Git源泄漏利用工具,可还原整个Git存储库,包括来自存储的数据,用于白盒审核和开发人员的思想分析
02-02
吉特·哈克 描述: This is a multiple threads tool to detect whether a site has git source leaks, and has the ability to download the site source to the local This tool can even be in. Git directory is prohibited when access to the use of loopholes It is worth mentioning that this tool will be, git directory completely simulated to the local rather than tools such as [githack] just simply restore to the latest version so that you can view the developer's submission history as well as submit the
GitHack-python3.zip
01-18
之前下载了前辈们的GitHack工具发现竟然只能在python2运行,生为程序猿的我瞬间毛血旺了,因为自己装的是python3发现尽然用不了,超灵长类生物不能忍,我瞬间打开源码对键盘一顿咔咔咔胡打,最终成功在python3运行。当然也感谢有前辈们的基础才能够在巨人的肩膀上成长
自己用python写的githack工具
05-18
自己用python写的githack工具,以前经常用别人写的,这次自己写了一个与大家分享有问题还请指出。请使用python2来运行
爬取网站目录工具githack
m0_52663093的博客
01-21 2036
git hack 下载地址: GIT:https://github.com/lijiejie/GitHack git hack介绍: a GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。 b 设置环境变量: 装上Python2,然后把Python2目录添加到环境变量 右键计算机-属性-高级系统设置 c 然后执行命令D:\Python27\python.exeD:\Users\cxt\Downloads\GitHack-master\GitHack...
GitHack 源码分析
aslongas2015的博客
05-11 242
PS:因为刚接触Python所以就有很多没接触到的库和函数,所以打算通过这种方式来学习这些库和函数 过程概述: sys.argv[-1]获取控制台输入的url赋值给base_url 通过urlparse.urlparse(sys.argv[-1]).netloc.replace(':', '_')获取给定url中的服务器地址赋值给domain 创建名为domain的文件夹 输出...
git hack 基础知识
Xiemx的专栏
09-29 1527
git hack git log 到提交散列值hash为止 git log .. 从hash之后到最新的提交为止 git log .. 从hash1之后到提交hash2为止 git ls-files 列出修改的文件 git dff 查看缓存区和工作区的差别
探秘GitHack:一款强大的GitHub安全审计工具
最新发布
gitblog_00090的博客
03-22 429
探秘GitHack:一款强大的GitHub安全审计工具 项目地址:https://gitcode.com/lijiejie/GitHack 在程序员的世界中,代码托管平台GitHub是许多开发者协作和分享代码的重要场所。然而,随着项目的日益复杂,潜在的安全问题也逐渐浮出水面。为了帮助开发者发现并修复这些隐患,GitHack应运而生。这是一个开源的Python项目,旨在检测GitHub账户和仓库中的...
Git信息泄露风险与利用演示
Git信息泄露问题主要源于其设计特点——它将项目的完整历史记录存储在一个本地的`.git`文件夹内,包括元数据、提交历史以及实际的文件内容。当这个文件夹意外暴露,或者被恶意获取时,就可能引发安全风险。 **Git...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值