1.8：Git信息泄露

Posted 2021-11-28 sssbug

0X00 Git信息泄露

1.git仓库介绍

2.git信息泄露原理

3.git实验环境搭建

4.git信息泄露利用

 

0X01 git仓库介绍

GIT是一个开源的分布式版本控制系统，可以有效的高速的处理从很小到非常大的项目版本管理。

网站：https://git-scm.com/

通过git init创建一个仓库 ,可以编辑代码，

 

0X02 git信息泄露原理

可以通过git 文件夹下的文件，还原重建工程源代码。

解析.git/index文件，找到工程所有：（文件名，文件sha1）

去.git/objects/文件夹下载对应的文件

zlib解压文件，按原始的目录结构写入源代码

渗透测试人员，攻击者，可以进一步审计代码，挖掘：文件上传，SQL注入等安全漏洞。

 

0X03 git实验环境的搭建

将git init目录下的内容部署到http服务器上，保留.git目录。 git add文件名。gitcommit-m“版本信息”“”

 

0X04 git信息泄露利用

工具：https://github.com/lijiejie/githack   可直接git clone

命令 ：python githack.py http：//127.0.0.1/git_test/.git