Git

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Bir URL’den .git klasörünü dump etmek için kullanın https://github.com/arthaud/git-dumper

Kullan https://www.gitkraken.com/ içeriği incelemek için

Bir web uygulamasında .git dizini bulunursa, tüm içeriği wget -r http://web.com/.git. kullanarak indirebilirsiniz. Sonra yapılan değişiklikleri git diff ile görebilirsiniz.

Araçlar: Git-Money, DVCS-Pillage ve GitTools bir git dizininin içeriğini almak için kullanılabilir.

Araç https://github.com/cve-search/git-vuln-finder commit mesajları içinde CVE’leri ve güvenlik açıklarına dair mesajları aramak için kullanılabilir.

Araç https://github.com/michenriksen/gitrob organizasyonların ve çalışanlarının repositories’lerinde hassas veri arar.

Repo security scanner komut satırı tabanlı bir araçtır ve tek bir amaçla yazılmıştır: geliştiricilerin yanlışlıkla push ederek açığa çıkardığı GitHub secrets’leri keşfetmenize yardımcı olmak. Diğerleri gibi parolalar, private keys, kullanıcı adları, tokenlar ve daha fazlasını bulmanıza yardımcı olur.

Burada github dorks hakkında bir çalışma bulabilirsiniz: https://securitytrails.com/blog/github-dorks

Daha hızlı /.git dumping & dirlisting bypass (2024–2026)

• holly-hacker/git-dumper 2024 yılında klasik GitTools dumper’ın paralel fetch içeren (>10x hız) yeniden yazımıdır. Örnek: python3 git-dumper.py https://victim/.git/ out && cd out && git checkout -- .
• Ebryx/GitDump .git/index, packed-refs, vb. dosyalardan object isimlerini brute-force ederek, dizin traversal kapalı olsa bile repo’ları kurtur: python3 git-dump.py https://victim/.git/ dump && cd dump && git checkout -- .

Hızlı dump sonrası triage

cd dumpdir
# reconstruct working tree
git checkout -- .
# show branch/commit map
git log --graph --oneline --decorate --all
# list suspicious config/remotes/hooks
git config -l
ls .git/hooks

Gizli/kimlik bilgisi bulma (mevcut araçlar)

• TruffleHog v3+: entropy+regex ile otomatik Git geçmişi taraması. trufflehog git file://$PWD --only-verified --json > secrets.json
• Gitleaks (v8+): hızlı regex kuralları; açılmış depo ağacını veya tam geçmişi tarayabilir. gitleaks detect -v --source . --report-format json --report-path gitleaks.json

Kaynaklar

• holly-hacker/git-dumper – parallel fast /.git dumper
• Ebryx/GitDump

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.