【漏洞学习——Git信息泄露】回收宝git服务使用不当导致源代码泄露

最新推荐文章于 2025-01-13 21:19:43 发布
最新推荐文章于 2025-01-13 21:19:43 发布
阅读量402 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 【渗透测试实战】 # 乌云漏洞案例学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/84401412
本文回顾了XDCTF2015中的一道题目,通过使用特定工具下载目标站点的.git目录,成功获取了整个目录结构并进行分析。文中提到,此方法曾应用于多个知名厂商的网站,包括华为商城等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞细节

记得XDCTF2015 遇到过这题 web2-200 貌似是

然后利用老外的一个下载.git目录文件的工具 就可以把它的整个目录下载下来 并还原

看看,整个目录都脱下来了。

粗略看了一下 好多知名厂商 都用的这个回收系统
包括华为商城都有合作。。。

参见:https://bugs.shuimugan.com/bug/view?bug_no=165299

 

git信息泄露漏洞
jelly
07-27 9716
git泄露漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 Git介绍 Git作为大家熟悉的,深受欢迎的版本控制工具,和其他同类工具有很多不同之处: Git始终保存快照而不是文件差异。 任何数据存储前始终使用SHA-1计算校验和,保证内容完整性。 使用分布式仓库设计,让大多数
渗透测试——提权方式总结
热门推荐
橘子女侠
06-11 3万+
(内容整理自网络) 一、 什么是提权 提权就是通过各种办法和漏洞,提高自己在服务器中的权限,以便控制全局。 Windows:User >> System Linux:User >> Root 二、怎样进行提权(提权的方式有哪些) 1.、系统漏洞提权(Linux、Windows) 2、数据库提权 3、系统配置错误提权 4、权限继承类提权 5、第三方软件...
Git泄露
cyy001128的博客
04-23 2358
通过git stash存储的修改列表,可以通过git stash list查看,git stash show用于校验,git stash apply用于重新存储,直接执行git stash等同于git stash save,执行 git stash pop 是恢复文件。前几步大致相同,都是用dirsearch扫描是否存在git漏洞,然后打开githack连接,后面则是分为git log,git stash和git index几种。用git reset --hard 回退版本,打开文件夹可找到flag。
git泄露
2401_82388450的博客
04-16 2974
git log --pretty=oneline //加参,简洁查看$ git reflog //查看每一次修改历史$ cat test.txt //查看文件内容$ git status //查看工作区中文件当前状态。
信息搜集-Git信息泄露
qq_25899635的博客
05-20 1682
Git仓库介绍 Git(读音为/gIt/.)是一个开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。 https://git-scm.com/ 通过git init创建一个仓库。 Git信息泄露原理 通过泄露的.git文件夹下的文件,还原重建工程源代码。 解析.git/index文件,找到工程中所有的: (文件名,文件sha1) 去.git/objects/文件夹下载对...
.git 泄露
weixin_34409741的博客
11-19 767
等待笔记。。。 转载于:https://www.cnblogs.com/AardWolf/p/9986536.html
WinUSB嵌入式开发最佳实践:代码优化与管理的5大策略
通过对案例的深入分析和对新兴技术的探讨,本文旨在提供一套全面的开发技巧和工具使用指南,帮助开发者提升开发效率、优化程序性能,并确保应用的安全性和可靠性。文章还展望了嵌入式开发的未来技术趋势,强调了在...
前端面试题--js
weixin_44501366的博客
10-09 5511
SetES6 新增的一种新的的数据结构,类似于数组,但成员是唯一且无序的,没有重复的值。成员不能重复;只有键值,没有键名,有点类似数组;可以遍历,方法有add: 新增,相当于array里的pushdelete: 存在即删除集合中的valuehas: 判断集合中是否存在valueclear: 清空集合Set 结构可以利用Array.from或者 扩展运算符 转化为数组。
前端知识
qq_37759901的博客
01-29 1638
搜索框输入,文本剪辑器实时保存代码实现思路如下:(利用定时器,每次触发先清掉以前的定时器,从新开始)
【零散知识点总结2】
weixin_44543307的博客
03-09 6141
大部分知识点来源于网络,知道的可以在评论区贴上来源喔 内容涵盖:MySQL、Spring、Spring Boot、Spring Cloud、RabbitMQ、Kafka、 Linux 等技术栈 零散知识点总结2MySQLMySQL 中有哪几种锁?MySQL 中有哪些不同的表格?简述在 MySQL 数据库中 MyISAM 和 InnoDB 的区别 MySQL MySQL 中有哪几种锁? 1、表级锁:开销小,加锁快;不会出现死锁;锁定粒度大,发生锁冲突的概率最高,并发度最低。 2、行级锁:开销大,加锁慢;会出现
git泄露查询
10-31
github的泄露信息进行检索查询,可以用于信息收集,资产探测。
git信息泄露
西部壮仔的博客
02-06 2394
Git仓库介绍 Git(读音为/gIt/.)是一个开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。 Git信息泄露原理 通过泄露的.git文件夹下的文件,还原重建工程源代码。 解析.git/index文件,找到工程中所有的: (文件名,文件sha1) 去.git/objects/文件夹下载对应的文件 zlib解压文件,按原始的目录结构写入源代码。 渗透测试人员、攻击者...
Git信息泄露
qq_43776408的博客
05-27 501
Git仓库管理 git是linux内核开发者开发的,目的是为了更好的更方便的管理linux内核 当年那个开发者年仅21岁,对计算机痴迷般的热爱 最后那个新建的git目录是以后我们要利用的漏洞 Git信息泄露原理 第二步要下载的文件其实就是第一步找到的文件 我很好奇为啥第一步找到了不直接下载? Git实验环境搭建 kali上步骤 以apache服务为例 你先切换到apache服务目录 然后启动apache服务器 在该目录下新建一个文件夹叫git_test 然后在该目录下新建一个git仓库 git ini
git泄露漏洞总结
weixin_66839513的博客
04-02 3751
Git泄露是指在使用Git版本控制系统时,由于配置不当或者操作失误,导致敏感信息(如密码、密钥、源代码等)被意外地上传到公开的代码仓库或者其他公开可访问的地方,从而被未授权的人获取到。
1.8:Git信息泄露
abcwoaini1984的博客
05-09 398
0X00Git信息泄露 1.git仓库介绍 2.git信息泄露原理 3.git实验环境搭建 4.git信息泄露利用 0X01git仓库介绍 GIT是一个开源的分布式版本控制系统,可以有效的高速的处理从很小到非常大的项目版本管理。 网站:https://git-scm.com/ 通过git init创建一个仓库 ,可以编辑代码, 0X02git信息泄露原...
git泄露(一篇文章就够了)
最新发布
m0_67170526的博客
01-13 2794
当大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境,这就引起了git泄露漏洞。通过git泄露,我们可以获取到源代码、提交历史、分支信息、配置信息、开发者信息和一些其他敏感信息。git泄露在ctf中的应用绝大部分是和代码审计一起出的,往往是ctfweb题中的第一步,所以至关重要。
git泄露漏洞
TItaniumLJA的博客
11-23 5945
git简介 git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git目录 config - 包含一些配置选项 description - 仓库的描述信息,主要给gitweb等git托管系统使用 HEAD - 指定
Git信息泄露漏洞
qq_29566629的博客
05-27 601
对域名进行目录扫描时,如果发现有.git就说明有可能存在git信息泄露。 然后就可以试着使用GitHack(github上有)dump下源码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值