GitHack – 一个.git泄露利用脚本

发表于 2019年05月27日
安全工具

GitHack

当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

GitHack是一个.git泄露利用脚本，通过泄露的.git文件夹下的文件，重建还原工程源代码。

渗透测试人员、攻击者，可以进一步审计代码，挖掘：文件上传，SQL注射等web安全漏洞。

GitHack - 一个.git泄露利用脚本

GitHack原理

解析.git/index文件，找到工程中所有的： ( 文件名，文件sha1 )
去.git/objects/ 文件夹下下载对应的文件
zlib解压文件，按原始的目录结构写入源代码

GitHack下载与使用

$ git clone https://github.com/lijiejie/GitHack.git
$ GitHack.py http://www.site.org/.git/

1 2	$ git clone https://github.com/lijiejie/GitHack.git $ GitHack.py http://www.site.org/.git/

标签：git泄露 , 漏洞原文连接：GitHack – 一个.git泄露利用脚本 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。

subDomainsBrute - 域名暴力枚举工具谷歌访问助手破解版

ThinkPHP3.x注入漏洞

ThinkPHP3.x注入漏洞

6000多份HackerOne漏洞公开报告

6000多份HackerOne漏洞公开报告

通过IP批量扫描获取服务漏洞的组合式框架：Silver

通过IP批量扫描获取服务漏洞的组合式框架：Silver

GHDB/SHDB（Google Hacking Database）

GHDB/SHDB（Google Hacking Database）

远程/本地文件包含漏洞示例：RFI/LFI Payload List

远程/本地文件包含漏洞示例：RFI/LFI Payload List

PHP-FPM 远程代码执行漏洞（CVE-2019-11043）

PHP-FPM 远程代码执行漏洞（CVE-2019-11043）

disable_functions Bypass：突破disable_functions达到命令执行的Shell

disable_functions Bypass：突破disable_functions达到命令执行的Shell

泛微E-cology OA远程代码执行漏洞0day 复现/POC

泛微E-cology OA远程代码执行漏洞0day 复现/POC

Android 11 中的存储机制更新，无权操作SD根目录要使用分区存储

Android 11 中的存储机制更新，无权操作SD根目录要使用分区存储

macOS 在当前目录打开终端

macOS 在当前目录打开终端

he filename 未命名.ipa in the package contains an invalid character(s)解决

he filename 未命名.ipa in the package contains an invalid character(s)解决

Golang交叉编译多平台二进制文件一文搞定

Golang交叉编译多平台二进制文件一文搞定

Flutter 3 发布，一文看懂新功能及特性

Flutter 3 发布，一文看懂新功能及特性

分销系统数据库设计篇

分销系统数据库设计篇

Google Analytics 优化/Google Analytics加载失败导致阻塞的解决方法

Google Analytics 优化/Google Analytics加载失败导致阻塞的解决方法

git导出某次commit修改过的文件打包

Android 11 中的存储机制更新，无权操作SD根目录要使用分区存储