您的位置:网站首页 > 源码评测 > 正文

GitHack:一个git泄露利用脚本

类别:源码评测 日期:2015-6-4 16:16:54 人气: 来源:

  免责声明:本站提供安全工具、程序(方法)可能带有性,仅供安全研究与教学之用,风险自负!

  当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上。这就引起了git泄露漏洞。

  GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。

  Git信息泄露的危害很大,渗透测试人员、者,可直接从源码获取配置信息(如:邮箱,数据库),也可以进一步审计代码,挖掘文件上传、SQL注射等安全漏洞。

  工作原理

  1、解析.git/index文件,找到工程中所有的: ( 文件名,文件sha1 )

  2、去.git/objects/ 文件夹下下载对应的文件

  3、zlib解压文件,按原始的目录结构写入源代码

  优点

  速度快,默认20个工作线程

  尽量还原所有的源代码,缺失的文件不影响脚本工作

  脚本不需要执行额外的git命令,all you need is python

  脚本无需浏览目录

  可能的改进

  存在文件被gc打包到git\objects\pack的情况,稍后可测试下看能否直接获取并解压这个文件,还原源代码

  用法示例

  GitHack.py src=

关键词:源码评测
0
0
0
0
0
0
0
0
下一篇:没有资料

网友评论 ()条 查看

姓名: 验证码: 看不清楚,换一个

推荐文章更多

热门图文更多

最新文章更多

关于联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

CopyRight 2002-2012 技术支持 源码吧 FXT All Rights Reserved

赞助合作: