hacktricks/network-services-pentesting/pentesting-web/git.md
2023-06-03 01:46:23 +00:00

4.9 KiB

Git

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Para descargar una carpeta .git desde una URL, utiliza https://github.com/arthaud/git-dumper

Usa https://www.gitkraken.com/ para inspeccionar el contenido

Si se encuentra un directorio .git en una aplicación web, puedes descargar todo el contenido usando wget -r http://web.com/.git. Luego, puedes ver los cambios realizados usando git diff.

Las herramientas: Git-Money, DVCS-Pillage y GitTools se pueden utilizar para recuperar el contenido de un directorio git.

La herramienta https://github.com/cve-search/git-vuln-finder se puede utilizar para buscar CVE y mensajes de vulnerabilidades de seguridad dentro de los mensajes de confirmación.

La herramienta https://github.com/michenriksen/gitrob busca datos sensibles en los repositorios de una organización y sus empleados.

Repo security scanner es una herramienta basada en línea de comandos que fue escrita con un solo objetivo: ayudarte a descubrir secretos de GitHub que los desarrolladores hicieron accidentalmente al empujar datos sensibles. Y como las otras, te ayudará a encontrar contraseñas, claves privadas, nombres de usuario, tokens y más.

TruffleHog busca en los repositorios de GitHub y escarba en el historial de confirmaciones y ramas, buscando secretos comprometidos accidentalmente.

Aquí puedes encontrar un estudio sobre dorks de GitHub: https://securitytrails.com/blog/github-dorks

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥