Git

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Om ’n .git gids vanaf ’n URL te dump, gebruik https://github.com/arthaud/git-dumper

Gebruik https://www.gitkraken.com/ om die inhoud te ondersoek

As ’n .git directory in ’n webtoepassing gevind word, kan jy alle inhoud aflaai deur wget -r http://web.com/.git. te gebruik. Daarna kan jy die veranderinge sien wat gemaak is deur git diff te gebruik.

Die gereedskap: Git-Money, DVCS-Pillage en GitTools kan gebruik word om die inhoud van ’n git-gids te onttrek.

Die hulpmiddel https://github.com/cve-search/git-vuln-finder kan gebruik word om na CVEs en sekuriteitsverwante boodskappe in commit messages te soek.

Die hulpmiddel https://github.com/michenriksen/gitrob soek sensitiewe data in die repositories van ’n organisasie en sy werknemers.

Repo security scanner is ’n command line-based hulpmiddel wat geskryf is met ’n enkele doel: om jou te help GitHub-sekrete te ontdek wat ontwikkelaars per ongeluk geskep het deur sensitiewe data te push. En soos die ander, sal dit jou help om wagwoorde, private keys, gebruikersname, tokens en meer te vind.

Hier kan jy ’n studie oor github dorks vind: https://securitytrails.com/blog/github-dorks

Vinniger /.git dumping & dirlisting bypass (2024–2026)

• holly-hacker/git-dumper is ’n 2024-herskrywing van die klassieke GitTools dumper met parallelle fetching (>10x spoedverbetering). Example: python3 git-dumper.py https://victim/.git/ out && cd out && git checkout -- .
• Ebryx/GitDump brute-forces object names from .git/index, packed-refs, etc. om repos te herstel selfs wanneer directory traversal gedeaktiveer is: python3 git-dump.py https://victim/.git/ dump && cd dump && git checkout -- .

Vinnige post-dump triage

cd dumpdir
# reconstruct working tree
git checkout -- .
# show branch/commit map
git log --graph --oneline --decorate --all
# list suspicious config/remotes/hooks
git config -l
ls .git/hooks

Geheim-/credential-opsporing (huidige gereedskap)

• TruffleHog v3+: entropy+regex met outomatiese deursoeking van die Git-geskiedenis. trufflehog git file://$PWD --only-verified --json > secrets.json
• Gitleaks (v8+): vinnige regex-reëls, kan die uitgepakte boom of die volle geskiedenis skandeer. gitleaks detect -v --source . --report-format json --report-path gitleaks.json

Verwysings

• holly-hacker/git-dumper – parallel fast /.git dumper
• Ebryx/GitDump

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.