实战中的.git信息泄露利用

最新推荐文章于 2024-05-03 21:20:38 发布
最新推荐文章于 2024-05-03 21:20:38 发布
阅读量636 收藏
点赞数
分类专栏: Web漏洞 文章标签: git github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangdongchengya/article/details/130186539
版权

1.简介

其实这个是非常简单的哈,但很多人看见.git不知道这个漏洞就放弃了

.git文件夹是一种常见的源代码版本控制系统(如Git)使用的文件夹,用于跟踪文件和文件夹的更改。如果这个文

件夹被泄露,那么你的代码和版本控制信息也会被泄露。

2.git目录文件结构

├── HEAD — 当前 branch 指针。一般指向 refs/heads/ 里的 branch

├── index — 当前branch 项目文件的 map

├── logs — 日志目录

│ ├── HEAD — 日志记录

├── objects — 项目文件目录

│ ├── info — pack文件指针(通常在客户端)

│ └── pack — pack文件目录

└── refs — branch 和 tags 目录

├── heads — 存放各个 branches 的指针

├── stash — 存放 stash文件

3.攻击利用

比如你扫描到如下.git的这样的目录,基本上就可以来攻击一波了,但有的.git下面什么也没有

image-20230110143815627

这里用一个lijiejie写的脚本工具

GitHack:https://github.com/lijiejie/GitHack

用法:python GitHack.py http://xxxx/.git/

image-20230110153059391

下载完成后你就可以看见源码了,然后直接白盒审计开干,你也可以翻找一些数据库配置之类的

G3et
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
【漏洞挖掘】——59、Git信息泄露漏洞检测利用
Fly_鹏程万里
10-20 1158
Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除直接发布到服务器上攻击者就可以通过它来恢复源代码。
Git泄露相关知识点
2201_75437983的博客
10-18 1418
点开看了以后里面什么都没有,注意这里一定要进去到了文件里面以后再打开终端,执行git log,git log 显示到HEAD所指向的commit为止的所有commit记录,简单说来就是可以查看之前版本的记录(删除了的看不见),git reflog和git log功能一样(删除了的也能查看)。可以看到我们git log以后我们能看到三个版本的哈希值,一个是现在所在的版本(remove flag),一个是前版本(add flag),一个是初始化的版本(init),而我们现在的版本大家也看到的是空白的一个文件。
Git信息泄露原理解析及利用总结
热门推荐
wulanlin的博客
01-10 1万+
前言 最近,在和一些人聊天的过程发现,好多人可以很从容淡定的说出信息收集需要收集Git信息泄露,至于深入的去谈这个漏洞产生的原理时,貌似不太直到这个问题以及相关工具的原理是什么?但作为小白的我始终觉得,对于一个问题只有深入的了解它的原理,并且利用的核心思想才能更好的挖掘和利用它。(可能思想有些“吹毛求疵”了,欢迎大佬们来指教) 那这篇文章,我就尝试从原理上分析一下这个漏洞以及漏洞的利用思想吧!(当然,借鉴了很多前辈的文章,感谢前辈们的分享) 一、Git简介 官方给出的解释是:Git是一个开源的分布
2024年网络安全最新CTFGIT泄露_ctf git泄露
最新发布
m0_54903333的博客
05-03 1046
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频老师的思路,从基础到深入,还是很容易入门的。**Githack扫描完后目录下会生成一个dist文件,**
.git文件泄露的一次渗透darkhole2
tpaer的博客
10-03 1142
这是一个困难难度的靶场,通过不小心泄露的.git文件收集信息,再利用漏洞脱库登录,最后利用rce漏洞进行提权。也可以用通用来打。
git泄露
2401_82388450的博客
04-16 1556
git log --pretty=oneline //加参,简洁查看$ git reflog //查看每一次修改历史$ cat test.txt //查看文件内容$ git status //查看工作区文件当前状态。
GitHack-master.rar
01-06
4. **Git安全**:GitHack项目可能涉及到Git的安全方面,比如如何保护仓库免受恶意代码注入、如何设置访问权限、理解Git的签名机制以及如何防止敏感信息泄露。 5. **Git漏洞利用与防护**:可能包含了关于已知Git漏洞...
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞的挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
android源码开发实战4.05.zip
03-18
《Android源码开发实战4.05》是针对Android系统源码进行深入研究的一本实践指南,涵盖了Android系统的各个核心组件和技术。通过学习这本书,开发者能够理解Android的内部工作机制,从而提升应用程序的性能和用户体验...
android源码开发实战23.02.zip
03-18
在"android源码开发实战23.02.zip"这个压缩包,我们可以推测它包含的是关于Android系统源码开发的教程或者项目实践内容。在23.02这个章节,可能涉及到了Android开发的特定阶段或技术点。虽然具体的文件内容没有...
android源码开发实战3.07.zip
03-18
在Android源码开发实战3.07.zip这个压缩包,我们聚焦于深入理解Android系统的内部运作机制,以及如何利用源代码进行应用开发和系统定制。Android作为一个开源操作系统,为开发者提供了丰富的API和工具,使其能够对...
.git文件夹信息泄露漏洞利用
ddchggf的博客
08-10 3818
未经授权请勿利用文章的技术 资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果 和损失,均由使用者本人负责。无意使用x-ray被动扫描,扫描出了一个git文件信息泄露。...
git泄露漏洞总结
weixin_66839513的博客
04-02 2432
Git泄露是指在使用Git版本控制系统时,由于配置不当或者操作失误,导致敏感信息(如密码、密钥、源代码等)被意外地上传到公开的代码仓库或者其他公开可访问的地方,从而被未授权的人获取到。
七、信息泄露[git、vim]
黑日里不灭的light
10-23 806
解释:Git信息泄露是指通过公开或错误地配置版本控制系统Git,导致敏感数据(例如API密钥、数据库密码、个人信息等)被泄露到公共代码仓库或其他未授权的访问者手。通俗来说,在公网暴露类似(将.git目录直接被人访问)将会导致源码被人下载查看到。
攻防世界 mfw(Git源码泄露与命令执行漏洞)
Welcome To Myon'Blog !
06-01 2296
Git 源码泄露: 1、strpos() 函数 2、assert()函数 3、file_exists() 函数 4、die()函数 代码审计: 命令执行漏洞:
Git泄露_Log
Mr_admin的博客
09-23 1995
刚开始的时候不知道git命令,直接百度。做后确定命令格式为:python2 GitHack.py http://challenge-4e45df1c40b42551.sandbox.ctfhub.com:10800/.git/当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。我用的是新版kali环境做的题目(kali日期为2022-3,这个版本安装了python2和python3。后面使用命令要注意,我在这里踩坑了。先是捣鼓git软件怎么使用。
Git文件泄露利用
tpaer的博客
08-02 1830
在开发提交代码或打包项目的过程,如果配置不当,可能会将.git文件夹直接部署到线上环境。这就可能会引起git泄露漏洞。
git源代码泄露
qq_53099802的博客
05-27 3409
git泄露和php的assert漏洞
Git泄露
cyy001128的博客
04-23 1370
通过git stash存储的修改列表,可以通过git stash list查看,git stash show用于校验,git stash apply用于重新存储,直接执行git stash等同于git stash save,执行 git stash pop 是恢复文件。前几步大致相同,都是用dirsearch扫描是否存在git漏洞,然后打开githack连接,后面则是分为git log,git stash和git index几种。用git reset --hard 回退版本,打开文件夹可找到flag。
.git stash save "这里是注释"2.git pull3.git stash pop4.git stash list 5.git stash show
04-04
.git stash save "这里是注释": 这个命令用于将当前的工作目录的更改保存到一个临时区域,以便稍后恢复。保存的更改可以附带一个注释,以便更好地描述保存的内容。 .git pull: 这个命令用于从远程仓库拉取最新的更改并合并到当前分支。它会自动下载远程仓库的最新更改,并尝试将其合并到当前分支。 .git stash pop: 这个命令用于从临时区域恢复最近保存的更改,并将其应用到当前分支。它会将最近保存的更改从临时区域取出,并将其应用到当前分支上。 .git stash list: 这个命令用于列出当前存储在临时区域的所有保存的更改。它会显示每个保存的更改的唯一标识符和注释。 .git stash show: 这个命令用于显示最近保存的更改的详细信息。它会显示最近保存的更改的文件列表以及每个文件的更改内容的摘要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值