hacktricks/network-services-pentesting/pentesting-web/git.md

4 KiB

Git

{% hint style="success" %} Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks
{% endhint %}

Aby zrzucić folder .git z URL, użyj https://github.com/arthaud/git-dumper

Użyj https://www.gitkraken.com/ do inspekcji zawartości

Jeśli w aplikacji internetowej znajdziesz katalog .git, możesz pobrać całą zawartość, używając wget -r http://web.com/.git. Następnie możesz zobaczyć zmiany, używając git diff.

Narzędzia: Git-Money, DVCS-Pillage i GitTools mogą być używane do odzyskiwania zawartości katalogu git.

Narzędzie https://github.com/cve-search/git-vuln-finder może być używane do wyszukiwania CVE i wiadomości o lukach w zabezpieczeniach w wiadomościach commitów.

Narzędzie https://github.com/michenriksen/gitrob przeszukuje repozytoria organizacji i jej pracowników w poszukiwaniu wrażliwych danych.

Repo security scanner to narzędzie oparte na wierszu poleceń, które zostało napisane z jednym celem: pomóc Ci odkryć sekrety GitHub, które deweloperzy przypadkowo umieścili, przesyłając wrażliwe dane. I jak inne, pomoże Ci znaleźć hasła, klucze prywatne, nazwy użytkowników, tokeny i inne.

TruffleHog przeszukuje repozytoria GitHub i przeszukuje historię commitów oraz gałęzie, szukając przypadkowo umieszczonych sekretów.

Tutaj możesz znaleźć badanie na temat github dorks: https://securitytrails.com/blog/github-dorks

{% hint style="success" %} Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks
{% endhint %}