在对一个网站进行测试,发现对方有.git 泄露,使用lijiejie的脚本下载泄露代码,发现不完整,有么有好点的方法下载整个泄露源码,上网找了点资料,发现老外已经写好了,下面跟大家说说这个方法把。
测试站
http://www.xxx.com/.git/
GitTools
https://github.com/internetwache/GitTools
lijiejie
https://github.com/lijiejie/GitHack
使用gittools检索该目录,进行彻底的本地分析,这是一个专为本地 Git 存储库分析而设计的强大工具包。这使我能够深入研究其内容并探索其版本历史记录、配置文件和其他关键数据。
要将 Git 存储库转储到本地系统,请运行以下命令:
Bash gitdumper.sh https://www.xxx.com/.git/ des 
接下来,运行状态检查:
Git status
如果项目都显示已被删除。
我们可以用“Extractor”脚本,因为它允许迭代存储库的所有提交对象,最终尝试恢复内容,如下所示:
Bash extractor.sh ./ .git
然后我们可以在里面发现泄露的账号密码。
原文始发于微信公众号(红队笔记录):揭秘.git信息泄露:深入挖掘背后的秘密!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论