hacktricks/network-services-pentesting/pentesting-web/git.md

47 lines
4.1 KiB
Markdown

# Git
<details>
<summary><strong>Aprende a hackear AWS desde cero hasta convertirte en un experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>
Otras formas de apoyar a HackTricks:
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén la [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
**Para volcar una carpeta .git desde una URL, utiliza** [**https://github.com/arthaud/git-dumper**](https://github.com/arthaud/git-dumper)
**Utiliza** [**https://www.gitkraken.com/**](https://www.gitkraken.com/) **para inspeccionar el contenido**
Si se encuentra un directorio _.git_ en una aplicación web, puedes descargar todo el contenido usando _wget -r http://web.com/.git._ Luego, puedes ver los cambios realizados usando _git diff_.
Las herramientas: [Git-Money](https://github.com/dnoiz1/git-money), [DVCS-Pillage](https://github.com/evilpacket/DVCS-Pillage) y [GitTools](https://github.com/internetwache/GitTools) se pueden utilizar para recuperar el contenido de un directorio git.
La herramienta [https://github.com/cve-search/git-vuln-finder](https://github.com/cve-search/git-vuln-finder) se puede utilizar para buscar CVEs y mensajes de vulnerabilidades de seguridad dentro de los mensajes de confirmación.
La herramienta [https://github.com/michenriksen/gitrob](https://github.com/michenriksen/gitrob) busca datos sensibles en los repositorios de una organización y sus empleados.
[Repo security scanner](https://github.com/UKHomeOffice/repo-security-scanner) es una herramienta basada en línea de comandos que fue escrita con un único objetivo: ayudarte a descubrir secretos de GitHub que los desarrolladores hicieron accidentalmente al publicar datos sensibles. Y al igual que las demás, te ayudará a encontrar contraseñas, claves privadas, nombres de usuario, tokens y más.
[TruffleHog](https://github.com/dxa4481/truffleHog) busca en los repositorios de GitHub y analiza el historial de confirmaciones y ramas, en busca de secretos comprometidos accidentalmente.
Aquí puedes encontrar un estudio sobre dorks de GitHub: [https://securitytrails.com/blog/github-dorks](https://securitytrails.com/blog/github-dorks)
<details>
<summary><strong>Aprende a hackear AWS desde cero hasta convertirte en un experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>
Otras formas de apoyar a HackTricks:
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén la [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>