hacktricks/network-services-pentesting/pentesting-web/git.md

3.9 KiB

Git

{% hint style="success" %} Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks
{% endhint %}

Da biste preuzeli .git folder sa URL-a, koristite https://github.com/arthaud/git-dumper

Koristite https://www.gitkraken.com/ da biste pregledali sadržaj

Ako se u web aplikaciji pronađe .git direktorijum, možete preuzeti sav sadržaj koristeći wget -r http://web.com/.git. Zatim, možete videti promene napravljene korišćenjem git diff.

Alati: Git-Money, DVCS-Pillage i GitTools mogu se koristiti za preuzimanje sadržaja git direktorijuma.

Alat https://github.com/cve-search/git-vuln-finder može se koristiti za pretragu CVE-a i poruka o sigurnosnim ranjivostima unutar poruka commit-a.

Alat https://github.com/michenriksen/gitrob pretražuje osetljive podatke u repozitorijumima organizacija i njihovih zaposlenih.

Repo security scanner je alat zasnovan na komandnoj liniji koji je napisan sa jednim ciljem: da vam pomogne da otkrijete GitHub tajne koje su programeri slučajno napravili guranjem osetljivih podataka. I kao i ostali, pomoći će vam da pronađete lozinke, privatne ključeve, korisnička imena, tokene i još mnogo toga.

TruffleHog pretražuje GitHub repozitorijume i istražuje istoriju commit-a i grane, tražeći slučajno commitovane tajne.

Ovde možete pronaći studiju o github dorks: https://securitytrails.com/blog/github-dorks

{% hint style="success" %} Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks
{% endhint %}