GIT源代碼信息泄露
Git倉庫介紹
-
Git,是一個開源的分布式版本控制系統,可以有效,高度地處理從很小到非常大的項目版本管理。(https://git-scm.com/)
-
通過git init創建一個倉庫
Git信息泄露原理
- 通過泄露的
.git文件夾下的文件,還原重建工程源代碼 - 解析
.git/index文件,找到工程中所有的(文件名,文件sha1) - 去
.git/objects文件夾下下載對應的文件 - zlib解壓文件,按原始的目錄結構寫入源代碼
(危害:滲透測試人員、攻擊者,可以進一步代碼審計,挖掘:文件上傳,sql注入等安全漏洞)
安裝Python2環境
下載GitHack[GitHub]
利用Google Hacking搜索漏洞
利用GitHack下載源碼
下載完成之后會生成網站文件夾,成功拿到網站配置信息
