全网首发!Golang实现的Githack与原理详解

最新推荐文章于 2025-09-12 03:18:22 发布
原创 最新推荐文章于 2025-09-12 03:18:22 发布 · 407 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #开发语言 #后端 #web安全

本文详细介绍了利用Git源码泄露漏洞的工具Githack的工作原理,包括数据对象、提交对象等核心机制,并通过实际案例演示了如何在Yaklang中使用Githack恢复丢失的代码。

@Longlone师傅

前言

相信不少打过ctf的师傅对githack这个词并不陌生,它实际上是利用git源码泄露漏洞的工具名称。Git 源码泄露漏指的的是由于配置不当,客户端可以通过 http/https 协议直接访问服务器本地 .git 文件夹中的内容。而我们知道,.git文件夹是 Git(版本控制工具)存储代码信息的文件夹,这意味着我们的源码可能会通过该文件夹泄露出去。

小实验:通过.git文件夹恢复文件

在此之前,师傅们可以先做一个小实验,即将一个代码仓库的 .git 文件夹单独复制出来到另外的一个文件夹中,看看会发生什么?

可以看到,执行git status后依然能看到被删除的文件,这时候只需要简单地执行git checkout -- .恢复最后一次commit的提交时的状态,被删除的文件也就恢复了,这实际上证明,假如能下载 .git 文件夹,就相当于下载了源码。

Githack原理

知道了上述这点之后,我们关注的重点变成了如何下载 .git 文件夹。一个最简单的情况是该目录由于中间件( apache / nginx) 配置不当导致其能直接目录遍历,这时候只需要通过 wget -r或者编写脚本递归遍历下载文件夹和文件即可。

假如不能目录遍历,那么我们就需要先了解Git内部原理,才能够进行接下来的工作。(Git内部原理 章节的内容参考 Pro Git第二版)

Git内部原理

首先要明白的是, Git 本质上是一个现代化的版本控制系统,而我们常用的 git 命令则是操纵这个系统的命令行工具。

当我们通过git init命令创建一个新的存储库时,其 .git 目录如下所示:

Plaintext
$ ls -F1
HEAD
config*
description
hooks/
info/
objects/
refs/

需要重点关注的是HEAD 文件、(还未创建的)index 文件,和 objects 目录、refs 目录。这些文件或目录是 git 的核心组成部分,其中HEAD文件保存了当前所在分支,index文件保存了暂存区信息,objects目录存储了所有数据内容,refs目录则存储了指向数据的指针。

数据对象(blob object)

最低0.47元/天 解锁文章
【网络安全 | 渗透工具】Githack工具安装及使用教程详析
等风来
05-29 3万+
本文仅分享Githack工具基本安装及使用相关知识不承担任何法律责任。Git是一个非常流行的开源分布式版本控制系统,它被广泛用于协同开发和代码管理。许多网站和应用程序都使用Git作为其代码管理系统,并将其部署到生产环境中以维护其代码库。然而,在配置不当的情况下,可能会导致.git文件夹被直接部署到线上环境中,这可能会导致Git泄露问题。可通过githack下载泄露的Git存储库,以获取包含未加密密码、凭据和敏感信息的站点代码库。使用githack下载Git存储库的方法有两种。本文仅分享。
Githack之小白篇
weixin_52116519的博客
09-26 4958
Githack之小白篇 遇到CTF题目中要用Githack,居然B站没有教程,小白太难了。现在将遇到的写下来,希望努力的有缘人能用到。 文章目录Githack之小白篇一、Python下载1.下载2.配置环境变量二、Githack1.介绍2.下载3.使用方法总结 一、Python下载 1.下载 电脑的应用商店就有下载,就没去官网了。据说一定要python2。 2.配置环境变量 一开始不行,以为用不了。结果一搜居然是没配置环境变量。。。 类似java的环境配置,我已经很熟练,就不写了。不会就得自己搜教程。 二
GitHack安装配置完全指南
最新发布
gitblog_07528的博客
09-12 880
**GitHack** 是一个用于利用`.git`文件夹泄露的Python工具,它能够从公开的Git泄漏信息中还原历史版本的源代码,保持原有的目录结构不变。此项目特别适合于安全研究人员和开发者,帮助识别和处理Git仓库的潜在泄露风险,并且可用于模拟攻击场景下的源代码恢复。GitHack的核心功能在于无须额外的Git命令,仅依赖Python环境和内置的Git命令,即可实现源码的快速重构。 **主要...
CTFweb Git泄露 类题目 ———— 怎样用GitHack工具得到git泄露源码 详细教程-------从安装到使用
日熙的博客
07-30 7500
git泄露有关知识: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞 GitHack 是一个.git泄露利用 测试脚本,通过泄露的文件,还原重建工程源代码。 Git信息泄露的危害很大,渗透测试人员、攻击者,可直接从源码获取敏感配置信息(如:邮箱,数据库),也可以进一步审计代码,挖掘文件上传、SQL注射等安全漏洞。 ————参考的文章链接:文章1,文章2 ...
Githack:利用git目录结构读取源代码工具
03-24
吉特哈克 GitHack是.git文件夹公开漏洞利用。 它从.git文件夹重建源代码,同时保持目录结构不变。 GitHack是一个.git整合利用脚本,通过重定向的.git文件夹下的文件,重建还原工程源代码。 渗透测试人员,攻击者,可以进一步审核代码,挖掘:文件上传,SQL注射等安全漏洞。 脚本的工作原理 解析.git / index文件,找到工程中所有的:(文件名,文件sha1) 去.git / objects /文件夹下下载对应的文件 zlib解压文件,按原始的目录结构写入源代码 它的优点 速度快,至少20个工作线程 尽量还原所有的源代码,删除部分文件不影响脚本工作 脚本不需要执行额外的git命令,所有您需要的是python 脚本无需浏览目录 可能的改进## 存在文件被gc打包到git \ objects \ pack的情况,以后可测试下看能否直接获取并解压这个文件,还原源代码 #
Git原理笔记(一)
hacker_crazy的专栏
10-15 493
VCS: version control system 参考文档   一、底层命令(Plumbing)和高层命令(Procelain) 高层命令即我们常用的那些git命令。 除去这些命令,以UNIX风格使用或者由脚本调用的命令,一般称为底层命令。   我们这里主要学习底层命令。 当你在一个新目录或者已经建立了git的项目内执行git init的时候,都会创建一个.git目录。几乎所...
got:用golang编写的git命令
05-24
得到了-git的纯go实现 用法 它旨在提供git兼容命令... git相关的算法在git4go中实现,它提供了用golang编写的git2go兼容库。 它是从libgit2翻译而来的。 因此git4go是在GPLv2下提供的,并具有libgit2之类的链接异常。
我是如何收集全网行业网站的 - Golang 爬虫示例代码
no_reg的博客
08-23 1147
最近发现服务器磁盘快满了,顺手翻了下服务器上的数据库,惊讶地发现有一个之前写的爬虫程序,它生成的数据竟然占了整整200GB的空间!闲来无事,我决定重新查看这段代码,回顾一下当时我是如何编写这个网站爬虫,并整理成这篇文章,分享给大家。这是一款我用 Golang 编写的全网网址采集程序,能够自动爬取和分析互联网上几乎所有能够触及的网站信息。通过它,网站的标题、站点描述、微信号、QQ号、联系电话、运行环境、IP 信息,甚至是网站所使用的框架等都能自动采集和整理。
golang实现的文件去重小工具,有git提交历史、注释、windows,linux可执行文件。
02-12
本文将详细讲解基于Golang实现的文件去重小工具,以及之相关的技术知识点,包括Git提交历史查看、代码注释、跨平台可执行文件构建、Excel数据处理和Docker容器化部署。 首先,我们要讨论的是Golang语言本身。...
Git安装golang环境配置
爱编程的鱼的博客
01-23 972
Centos通过yum,Ubuntu通过apt-get进行安装,Mac通过、brew或者源代码自己编译安装,为了管理和升级建议使用Homebrew。
githack脚本分析
王嘟嘟的博客
03-30 2547
0x00 前言 这里看到源码泄露的问题,所以看到这个脚本,解析中学习一下。 0x01 代码详细分析 1.首先是解决index文件以及一些基本参数的设置 这里将不懂的地方全部都写上了注释 2.参数设置总结 self.base_url 设置url self.domain 设置域名 self.queue 设置队列 self.lock 资源锁 self.thread_count 设置线程 self.ST...
GitHack-master
02-13
git源码泄露利用工具,`.git` 泄漏利用工具,可还原历史版本,不需要安装其它 Python 库,只需要有 git 命令
GitHack_githack_
10-03
githack dddd 用于git !
GitHack工具使用简单源码分析
weixin_50464560的博客
08-31 3731
0x01 背景 在bugku做ctf时遇到一题web。 提示有文件备份,用御剑目录扫描没有结果,自己又尝试了一些可能的目录,均以失败告终。挣扎半天,无奈查看writeup,发现需要使用Githack工具。之前了解一些github泄露,但这种泄露还是头一次听说。 0x02 工具使用 简介 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码
(Window)GitHack下载安装和使用【CTF工具/渗透测试/网络安全/信息安全
热门推荐
m0_75203410的博客
06-06 1万+
GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。
kali下载使用GitHack
woshicainiao666的博客
08-18 5836
进入root用户,下载克隆git hack库下载完成后,进入GitHack,发现5个文件,说明ok了。
[网安工具] 敏感信息泄露利用工具 —— GitHack · 使用手册
Blue17 の 小窝
05-03 1725
GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。[Python/网络安全] Git漏洞之Githack工具基本安装及使用详析 前言方法一方法二总结 前言 本文仅分享Githack工具基本安装及使用相关知识,不承担任何法律责任。如果你本机之前已经配置过 Python 环境,那么,恭喜你,GitHack 已经安装完成 😊(没有配置过,那就查找相关教程配置一下呗)。注意:该工具的使用需要安装 Python 环境,笔者运行的环境是 Python 3.9.6。
GitHack下载和简单使用
akxnxbshai的博客
03-04 7388
以linux中的CentOs 64位 为例: 步骤一:(如果安装过git命令的可以跳过) 输入: yum install -y git 直到提示: 才算成功。 步骤二: 输入: git clone https://github.com/lijiejie/GitHack 成功。 以下是简单使用。 步骤三:(必须进入GitHack所在的目录) 输入: python GitHack.py 网址/.git/ 要注意自己出现的是GitHack.py还是GitHacker.py
【Python/网络安全】 Git漏洞之Githack工具基本安装及使用详析
2201_75362610的博客
02-29 2735
Git是一个非常流行的开源分布式版本控制系统,它被广泛用于协同开发和代码管理。许多网站和应用程序都使用Git作为其代码管理系统,并将其部署到生产环境中以维护其代码库。然而,在配置不当的情况下,可能会导致.git文件夹被直接部署到线上环境中,这可能会导致Git泄露问题。可通过githack下载泄露的Git存储库,以获取包含未加密密码、凭据和敏感信息的站点代码库。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值