hacktricks/network-services-pentesting/pentesting-web/git.md
2023-06-03 13:10:46 +00:00

5 KiB

Git

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Pour extraire un dossier .git à partir d'une URL, utilisez https://github.com/arthaud/git-dumper

Utilisez https://www.gitkraken.com/ pour inspecter le contenu

Si un répertoire .git est trouvé dans une application web, vous pouvez télécharger tout le contenu en utilisant wget -r http://web.com/.git. Ensuite, vous pouvez voir les modifications apportées en utilisant git diff.

Les outils : Git-Money, DVCS-Pillage et GitTools peuvent être utilisés pour récupérer le contenu d'un répertoire git.

L'outil https://github.com/cve-search/git-vuln-finder peut être utilisé pour rechercher des CVE et des messages de vulnérabilité de sécurité dans les messages de commit.

L'outil https://github.com/michenriksen/gitrob recherche des données sensibles dans les dépôts d'une organisation et de ses employés.

Repo security scanner est un outil en ligne de commande écrit dans un seul but : vous aider à découvrir les secrets GitHub que les développeurs ont accidentellement créés en poussant des données sensibles. Et comme les autres, il vous aidera à trouver des mots de passe, des clés privées, des noms d'utilisateur, des jetons et plus encore.

TruffleHog recherche dans les dépôts GitHub et fouille dans l'historique des commits et les branches, à la recherche de secrets commis accidentellement.

Ici, vous pouvez trouver une étude sur les dorks de github : https://securitytrails.com/blog/github-dorks

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥