GitHack针对.git的漏洞以及修复

最新推荐文章于 2024-03-22 09:54:37 发布
最新推荐文章于 2024-03-22 09:54:37 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: Nginx 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seapeak007/article/details/105755096
版权

GitHack是一个 .git 文件夹公开漏洞。

它在保持目录结构不变的同时从. git 文件夹重建源代码。

解析.git/index文件,找到工程中所有的:( 文件名,文件sha1)

 

GitHack的使用:

1、下载https://github.com/lijiejie/GitHack

2、到本地文件中执行python 脚本

    切换到GitHack的路径下
    cd GitHack-master
   执行py脚本
   python GitHack.py http://域名/.git/config

github上下载的GitHack仅支持python2的版本

 

GitHack的解决,就是服务器禁止隐藏文件的访问,nginx配置如下:

location ~ /\.{

deny all;

}

location ^~ /.git{

return 404;

}

seapeak007
关注
专栏目录
GitHack改进版(git源码泄露恢复工具)
09-26
GitHack改进版(git源码泄露恢复工具)可以恢复git文件和目录,实现版本还原,比原版的功能更强大
GitHack_githack_
10-03
githack dddd 用于git
GitHack & GitHacker
z1moq的博客
06-11 4420
写这个的原因是在做CTFHub的Git泄露题目时发现GitHack并不能正常将服务器中的 .git 文件正常保存下来,问了问工作室的好哥哥,告诉我GitHack就是有这个问题,使用GitHacker即可,于是记录下此问题 GitHack 下载地址:https://github.com/lijiejie/GitHack GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。 渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。 G.
GitHack-master
02-13
git源码泄露利用工具,`.git` 泄漏利用工具,可还原历史版本,不需要安装其它 Python 库,只需要有 git 命令
GitHack 源码分析
aslongas2015的博客
05-11 250
PS:因为刚接触Python所以就有很多没接触到的库和函数,所以打算通过这种方式来学习这些库和函数 过程概述: sys.argv[-1]获取控制台输入的url赋值给base_url 通过urlparse.urlparse(sys.argv[-1]).netloc.replace(':', '_')获取给定url中的服务器地址赋值给domain 创建名为domain的文件夹 输出...
Githack:利用git目录结构读取源代码工具
03-24
吉特哈克 GitHack是.git文件夹公开漏洞利用。 它从.git文件夹重建源代码,同时保持目录结构不变。 GitHack是一个.git整合利用脚本,通过重定向的.git文件夹下的文件,重建还原工程源代码。 渗透测试人员,攻击者,可以进一步审核代码,挖掘:文件上传,SQL注射等安全漏洞脚本的工作原理 解析.git / index文件,找到工程中所有的:(文件名,文件sha1) 去.git / objects /文件夹下下载对应的文件 zlib解压文件,按原始的目录结构写入源代码 它的优点 速度快,至少20个工作线程 尽量还原所有的源代码,删除部分文件不影响脚本工作 脚本不需要执行额外的git命令,所有您需要的是python 脚本无需浏览目录 可能的改进## 存在文件被gc打包到git \ objects \ pack的情况,以后可测试下看能否直接获取并解压这个文件,还原源代码 #
探秘GitHack:一款强大的GitHub安全审计工具
gitblog_00090的博客
03-22 469
探秘GitHack:一款强大的GitHub安全审计工具 项目地址:https://gitcode.com/lijiejie/GitHack 在程序员的世界中,代码托管平台GitHub是许多开发者协作和分享代码的重要场所。然而,随着项目的日益复杂,潜在的安全问题也逐渐浮出水面。为了帮助开发者发现并修复这些隐患,GitHack应运而生。这是一个开源的Python项目,旨在检测GitHub账户和仓库中的...
GitHack工具使用与简单源码分析
weixin_50464560的博客
08-31 3287
0x01 背景 在bugku做ctf时遇到一题web。 提示有文件备份,用御剑目录扫描没有结果,自己又尝试了一些可能的目录,均以失败告终。挣扎半天,无奈查看writeup,发现需要使用Githack工具。之前了解一些github泄露,但这种泄露还是头一次听说。 0x02 工具使用 简介 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码
GitHack下载和简单使用
akxnxbshai的博客
03-04 6753
以linux中的CentOs 64位 为例: 步骤一:(如果安装过git命令的可以跳过) 输入: yum install -y git 直到提示: 才算成功。 步骤二: 输入: git clone https://github.com/lijiejie/GitHack 成功。 以下是简单使用。 步骤三:(必须进入GitHack所在的目录) 输入: python GitHack.py 网址/.git/ 要注意自己出现的是GitHack.py还是GitHacker.py
爬取网站目录工具githack
m0_52663093的博客
01-21 2062
git hack 下载地址: GIT:https://github.com/lijiejie/GitHack git hack介绍: a GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。 b 设置环境变量: 装上Python2,然后把Python2目录添加到环境变量 右键计算机-属性-高级系统设置 c 然后执行命令D:\Python27\python.exeD:\Users\cxt\Downloads\GitHack-master\GitHack...
GitHack-python3.zip
01-18
之前下载了前辈们的GitHack工具发现竟然只能在python2运行,生为程序猿的我瞬间毛血旺了,因为自己装的是python3发现尽然用不了,超灵长类生物不能忍,我瞬间打开源码对键盘一顿咔咔咔胡打,最终成功在python3运行。当然也感谢有前辈们的基础才能够在巨人的肩膀上成长
自己用python写的githack工具
05-18
自己用python写的githack工具,以前经常用别人写的,这次自己写了一个与大家分享有问题还请指出。请使用python2来运行
GitHack-master.zip
05-23
git源码泄露利用工具,`.git` 泄漏利用工具,可还原历史版本,不需要安装其它 Python 库,只需要有 git 命令
GitHack使用方法
stars的博客
05-08 3535
ctf中有git泄露的题目,可以使用GitHack得到代码进行代码审计 下载地址https://github.com/lijiejie/GitHack 下载之后解压缩,并通过cmd使用 第一个短箭头是文件解压之后的位置 使用方法GitHack.py http://www.openssl.org/.git/ 执行完成之后会在文件加下生成网址的文件夹 ...
ctf随笔(5) Githack简单运用
ma_nong_的博客
10-17 1114
打开题目,首页一篇没啥用的开场,仔细查看会发现有这样一个网页 这个网页就有很明显的提示:git,php 首先去看看网页的git,果不其然有我们需要的东西 但是直接点击下载之后,出现的全是乱码,这个时候就需要githack一下了 格式:python GitHack.py http://xxx.xxx.xxx.xxx/.git 这样,一大堆代码我们就获得了 打开文件夹,看看代码,需要注意的就是一下部...
【网络安全 | 渗透工具】Githack工具安装及使用教程详析
热门推荐
等风来
05-29 2万+
本文仅分享Githack工具基本安装及使用相关知识不承担任何法律责任。Git是一个非常流行的开源分布式版本控制系统,它被广泛用于协同开发和代码管理。许多网站和应用程序都使用Git作为其代码管理系统,并将其部署到生产环境中以维护其代码库。然而,在配置不当的情况下,可能会导致.git文件夹被直接部署到线上环境中,这可能会导致Git泄露问题。可通过githack下载泄露的Git存储库,以获取包含未加密密码、凭据和敏感信息的站点代码库。使用githack下载Git存储库的方法有两种。本文仅分享。
git config user.namegit config user.email
最新发布
09-10
`git config user.name` 和 `git config user.email` 是Git版本控制系统中用于设置用户身份信息的命令行选项。当你使用Git进行提交操作时,Git会记录下你的用户名和电子邮件地址,以便跟踪代码更改的历史和联系人信息。 `git config user.name` 设置的是你的Git用户名,通常是你在GitHub或其他Git托管平台上的昵称。例如,你可以输入 `git config --global user.name "Your Name"` 来设置全局默认的用户名。 `git config user.email` 则用于设置你的Git电子邮箱地址,这个邮箱将与你的用户名关联起来,同样支持全局设置,如 `git config --global user.email youremail@example.com`。 如果你需要查看当前的配置,可以运行 `git config --list`,找到与`user.name`和`user.email`相关的条目。如果你想修改但不确定是否已经设置了,可以用 `git config user.name` 或 `git config user.email` 确认现有值,然后进行相应设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值