hacktricks/network-services-pentesting/pentesting-web/git.md

4 KiB

Git

{% hint style="success" %} Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Para despejar uma pasta .git de uma URL use https://github.com/arthaud/git-dumper

Use https://www.gitkraken.com/ para inspecionar o conteúdo

Se um diretório .git for encontrado em uma aplicação web, você pode baixar todo o conteúdo usando wget -r http://web.com/.git. Então, você pode ver as alterações feitas usando git diff.

As ferramentas: Git-Money, DVCS-Pillage e GitTools podem ser usadas para recuperar o conteúdo de um diretório git.

A ferramenta https://github.com/cve-search/git-vuln-finder pode ser usada para procurar CVEs e mensagens de vulnerabilidade de segurança dentro das mensagens de commits.

A ferramenta https://github.com/michenriksen/gitrob procura por dados sensíveis nos repositórios de uma organização e seus funcionários.

Repo security scanner é uma ferramenta baseada em linha de comando que foi escrita com um único objetivo: ajudar você a descobrir segredos do GitHub que os desenvolvedores acidentalmente fizeram ao enviar dados sensíveis. E como as outras, ela ajudará você a encontrar senhas, chaves privadas, nomes de usuário, tokens e mais.

TruffleHog pesquisa em repositórios do GitHub e investiga o histórico de commits e branches, procurando por segredos acidentalmente comprometidos.

Aqui você pode encontrar um estudo sobre dorks do github: https://securitytrails.com/blog/github-dorks

{% hint style="success" %} Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}