GIT源代码信息泄露
Git仓库介绍
-
Git,是一个开源的分布式版本控制系统,可以有效,高度地处理从很小到非常大的项目版本管理。(https://git-scm.com/)
-
通过git init创建一个仓库
Git信息泄露原理
- 通过泄露的
.git文件夹下的文件,还原重建工程源代码 - 解析
.git/index文件,找到工程中所有的(文件名,文件sha1) - 去
.git/objects文件夹下下载对应的文件 - zlib解压文件,按原始的目录结构写入源代码
(危害:渗透测试人员、攻击者,可以进一步代码审计,挖掘:文件上传,sql注入等安全漏洞)
安装Python2环境
下载GitHack[GitHub]
利用Google Hacking搜索漏洞
利用GitHack下载源码
下载完成之后会生成网站文件夹,成功拿到网站配置信息
