Git

Reading time: 2 minutes

tip

Impara e pratica l'Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Per scaricare una cartella .git da un URL usa https://github.com/arthaud/git-dumper

Usa https://www.gitkraken.com/ per ispezionare il contenuto

Se viene trovata una directory .git in un'applicazione web, puoi scaricare tutto il contenuto usando wget -r http://web.com/.git. Poi, puoi vedere le modifiche apportate usando git diff.

Gli strumenti: Git-Money, DVCS-Pillage e GitTools possono essere utilizzati per recuperare il contenuto di una directory git.

Lo strumento https://github.com/cve-search/git-vuln-finder può essere utilizzato per cercare CVE e messaggi di vulnerabilità di sicurezza all'interno dei messaggi di commit.

Lo strumento https://github.com/michenriksen/gitrob cerca dati sensibili nei repository di un'organizzazione e dei suoi dipendenti.

Repo security scanner è uno strumento basato su linea di comando scritto con un obiettivo unico: aiutarti a scoprire segreti di GitHub che gli sviluppatori hanno accidentalmente creato spingendo dati sensibili. E come gli altri, ti aiuterà a trovare password, chiavi private, nomi utente, token e altro.

TruffleHog cerca attraverso i repository di GitHub e scava nella cronologia dei commit e nei rami, cercando segreti accidentalmente commessi.

Qui puoi trovare uno studio sui github dorks: https://securitytrails.com/blog/github-dorks

tip

Impara e pratica l'Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks