偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

GitHack:一個git泄露利用腳本

安全 數(shù)據(jù)安全
當(dāng)前大量開發(fā)人員使用git進行版本控制,對站點自動部署。如果配置不當(dāng),可能會將.git文件夾直接部署到線上環(huán)境。這就引起了git泄露漏洞。

免責(zé)聲明:本站提供安全工具、程序(方法)可能帶有攻擊性,僅供安全研究與教學(xué)之用,風(fēng)險自負!

當(dāng)前大量開發(fā)人員使用git進行版本控制,對站點自動部署。如果配置不當(dāng),可能會將.git文件夾直接部署到線上環(huán)境。這就引起了git泄露漏洞。

GitHack是一個.git泄露利用測試腳本,通過泄露的文件,還原重建工程源代碼。

Git信息泄露的危害很大,滲透測試人員、攻擊者,可直接從源碼獲取敏感配置信息(如:郵箱,數(shù)據(jù)庫),也可以進一步審計代碼,挖掘文件上傳、SQL注射等安全漏洞。

工作原理

1、解析.git/index文件,找到工程中所有的: ( 文件名,文件sha1 )

2、去.git/objects/ 文件夾下下載對應(yīng)的文件

3、zlib解壓文件,按原始的目錄結(jié)構(gòu)寫入源代碼

優(yōu)點

速度快,默認20個工作線程

盡量還原所有的源代碼,缺失的文件不影響腳本工作

腳本不需要執(zhí)行額外的git命令,all you need is python

腳本無需瀏覽目錄

可能的改進

存在文件被gc打包到git\objects\pack的情況,稍后可測試下看能否直接獲取并解壓這個文件,還原源代碼

用法示例

GitHack.py http://www.openssl.org/.git/

執(zhí)行中截圖:

GitHub源碼泄露安全測試工具——GitHack

執(zhí)行結(jié)果:

GitHub源碼泄露安全測試工具——GitHack

獲取代碼:https://github.com/lijiejie/GitHack

參考資料

Git Index Formart

非常感謝 sbp 的 gin – a Git index file parser,腳本中使用了他的解析代碼,為適用python 2.x和Windows作了細微的改動

責(zé)任編輯:藍雨淚 來源: FreeBuf
相關(guān)推薦

2023-05-06 11:05:50

2014-07-08 09:27:24

SQLSERVER腳本

2010-09-04 10:49:16

數(shù)據(jù)泄密DLPCheck Point

2013-10-09 10:04:20

LinuxGit

2016-10-19 09:00:57

漏洞郵箱秘密

2015-08-19 09:29:35

Git協(xié)議編寫

2022-07-20 09:38:31

Python語音合成代碼

2018-01-08 14:31:09

Electron桌面APP前端

2016-08-05 12:58:44

GitLinux開源

2017-11-13 13:33:09

MySQL全備份恢復(fù)表

2015-11-10 17:56:23

2020-06-02 09:22:45

腳本CPUDDG

2009-07-31 17:14:19

C#語言Web程序

2020-05-07 18:20:52

Git腳本Linux開源

2011-08-23 17:42:42

Lua腳本

2021-06-29 05:16:19

紐約代碼泄露安全漏洞

2020-12-01 17:46:24

FossilGit

2018-03-19 15:46:42

LinuxCTagsSublime Tex

2019-12-11 10:45:08

Python 開發(fā)編程語言

2017-09-15 15:13:33

效果設(shè)備UI
點贊
收藏

51CTO技術(shù)棧公眾號