GitHack:一个git泄露利用脚本
当今很多开发者应用git开展版本控制,对站名全自动布署。要是配备不善,将会会将.git文件夹名称立即布署到线上线下自然环境。这就造成了git泄漏系统漏洞。
是1个.git泄漏运用检测脚本制作,根据泄漏的文档,复原复建工程项目源码。
数据泄露的伤害挺大,渗透测试工作人员、网络攻击,可立即从源代码获得比较敏感配备信息内容(如:电子邮箱,数据库查询),还可以深化财务审计编码,发掘文件上传、SQL打针等网络安全问题。FreeBuf以前也是有关报导,点我围观者。
原理
、分析.git/index文档,寻找工程项目中全部的:?(?文件夹名称,文档
、去.git/objects/?文件夹名称下免费下载相匹配的文档
、zlib解压缩文件,按初始的文件目录构造载入源码
优势
更快,默认设置30个工作中进程
尽可能复原全部的源码,缺少的文档不危害脚本制作工作中
脚本制作不用实行附加的git指令,
脚本制作不用预览文件目录
将会的改善
存有文档被gc装包到git\objects\pack的状况,稍候可检测下看可否立即获得并解压文件这一文档,复原源码
使用方法实例
实行中截屏:
实行結果:
获得编码:
参考文献
特别感谢 sbp 的?gin – a Git index file parser,脚本制作中应用了他的分析编码,为可用python 2.x和Windows作了微小的修改
相关文章
- 4条评论
- 寻妄笑惜2022-05-28 23:53:38
- 当今很多开发者应用git开展版本控制,对站名全自动布署。要是配备不善,将会会将.git文件夹名称立即布署到线上线下自然环境。这就造成了git泄漏系统漏洞。 是1个.git泄漏运用检测脚本制作,根据泄漏的文档,复原复建工程项目源码。 数据泄露的伤害挺大,渗透
- 瑰颈佼人2022-05-28 20:39:21
- 当今很多开发者应用git开展版本控制,对站名全自动布署。要是配备不善,将会会将.git文件夹名称立即布署到线上线下自然环境。这就造成了git泄漏系统漏洞。 是1个.git泄漏运用检测脚本制作
- 拥嬉樱甜2022-05-28 13:09:40
- 得比较敏感配备信息内容(如:电子邮箱,数据库查询),还可以深化财务审计编码,发掘文件上传、SQL打针等网络安全问题。FreeBuf以前也是有关报导,点我围观者。 原理 、分析.git/index文档,寻找工程项目中全部的:?(?文件夹名称,文档 、去.git/objects/?文件夹名称下免费
- 瑰颈吝吻2022-05-28 16:04:58
- 能复原全部的源码,缺少的文档不危害脚本制作工作中 脚本制作不用实行附加的git指令, 脚本制作不用预览文件目录 将会的改善 存有文档被gc装包到git\objects\pa