1.简介
其实这个是非常简单的哈,但很多人看见.git不知道这个漏洞就放弃了
.git文件夹是一种常见的源代码版本控制系统(如Git)使用的文件夹,用于跟踪文件和文件夹的更改。如果这个文
件夹被泄露,那么你的代码和版本控制信息也会被泄露。
2.git目录文件结构
├── HEAD — 当前 branch 指针。一般指向 refs/heads/ 里的 branch
├── index — 当前branch 项目文件的 map
├── logs — 日志目录
│ ├── HEAD — 日志记录
├── objects — 项目文件目录
│ ├── info — pack文件指针(通常在客户端)
│ └── pack — pack文件目录
└── refs — branch 和 tags 目录
├── heads — 存放各个 branches 的指针
├── stash — 存放 stash文件
3.攻击利用
比如你扫描到如下.git的这样的目录,基本上就可以来攻击一波了,但有的.git下面什么也没有
这里用一个lijiejie写的脚本工具
GitHack:https://github.com/lijiejie/GitHack
用法:python GitHack.py http://xxxx/.git/
下载完成后你就可以看见源码了,然后直接白盒审计开干,你也可以翻找一些数据库配置之类的