Git

Reading time: 2 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Um einen .git-Ordner von einer URL zu dumpen, verwenden Sie https://github.com/arthaud/git-dumper

Verwenden Sie https://www.gitkraken.com/ um den Inhalt zu inspizieren

Wenn ein .git-Verzeichnis in einer Webanwendung gefunden wird, können Sie den gesamten Inhalt mit wget -r http://web.com/.git herunterladen. Dann können Sie die vorgenommenen Änderungen mit git diff anzeigen.

Die Tools: Git-Money, DVCS-Pillage und GitTools können verwendet werden, um den Inhalt eines git-Verzeichnisses abzurufen.

Das Tool https://github.com/cve-search/git-vuln-finder kann verwendet werden, um nach CVEs und Sicherheitsanfälligkeiten in Commit-Nachrichten zu suchen.

Das Tool https://github.com/michenriksen/gitrob sucht nach sensiblen Daten in den Repositories von Organisationen und deren Mitarbeitern.

Repo security scanner ist ein kommandozeilenbasiertes Tool, das mit einem einzigen Ziel geschrieben wurde: Ihnen zu helfen, GitHub-Geheimnisse zu entdecken, die Entwickler versehentlich durch das Pushen sensibler Daten erstellt haben. Und wie die anderen wird es Ihnen helfen, Passwörter, private Schlüssel, Benutzernamen, Tokens und mehr zu finden.

TruffleHog durchsucht GitHub-Repositories und gräbt durch die Commit-Historie und Branches, um versehentlich kommittierte Geheimnisse zu finden.

Hier finden Sie eine Studie über GitHub-Dorks: https://securitytrails.com/blog/github-dorks

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks