Git

Reading time: 3 minutes

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Per scaricare una cartella .git da un URL usa https://github.com/arthaud/git-dumper

Usa https://www.gitkraken.com/ per ispezionare il contenuto

Se viene trovata una directory .git in un'applicazione web, puoi scaricare tutto il contenuto usando wget -r http://web.com/.git. Poi, puoi vedere le modifiche apportate usando git diff.

Gli strumenti: Git-Money, DVCS-Pillage e GitTools possono essere utilizzati per recuperare il contenuto di una directory git.

Lo strumento https://github.com/cve-search/git-vuln-finder può essere utilizzato per cercare CVE e messaggi di vulnerabilità di sicurezza all'interno dei messaggi di commit.

Lo strumento https://github.com/michenriksen/gitrob cerca dati sensibili nei repository di un'organizzazione e dei suoi dipendenti.

Repo security scanner è uno strumento basato su linea di comando scritto con un obiettivo unico: aiutarti a scoprire segreti di GitHub che gli sviluppatori hanno accidentalmente creato spingendo dati sensibili. E come gli altri, ti aiuterà a trovare password, chiavi private, nomi utente, token e altro.

TruffleHog cerca attraverso i repository di GitHub e scava nella cronologia dei commit e nei rami, cercando segreti accidentalmente commessi.

Qui puoi trovare uno studio sui github dorks: https://securitytrails.com/blog/github-dorks

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks