Git

Reading time: 2 minutes

tip

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Aby zrzucić folder .git z URL, użyj https://github.com/arthaud/git-dumper

Użyj https://www.gitkraken.com/ do inspekcji zawartości

Jeśli w aplikacji internetowej znajdziesz katalog .git, możesz pobrać całą zawartość używając wget -r http://web.com/.git. Następnie możesz zobaczyć wprowadzone zmiany używając git diff.

Narzędzia: Git-Money, DVCS-Pillage i GitTools mogą być używane do odzyskiwania zawartości katalogu git.

Narzędzie https://github.com/cve-search/git-vuln-finder może być używane do wyszukiwania CVE i wiadomości o lukach w zabezpieczeniach w wiadomościach commitów.

Narzędzie https://github.com/michenriksen/gitrob przeszukuje wrażliwe dane w repozytoriach organizacji i jej pracowników.

Repo security scanner to narzędzie oparte na wierszu poleceń, które zostało napisane z jednym celem: pomóc Ci odkryć sekrety GitHub, które deweloperzy przypadkowo ujawnili, przesyłając wrażliwe dane. I podobnie jak inne, pomoże Ci znaleźć hasła, klucze prywatne, nazwy użytkowników, tokeny i inne.

TruffleHog przeszukuje repozytoria GitHub i bada historię commitów oraz gałęzie, szukając przypadkowo zatwierdzonych sekretów.

Tutaj możesz znaleźć badanie na temat github dorks: https://securitytrails.com/blog/github-dorks

tip

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks