由于.git/config导致的Git存储库泄露

原创已于 2022-09-28 20:07:58 修改

· 2.4k 阅读

3 ·

版权

文章标签：

#git #jenkins #运维

于 2022-09-28 20:06:59 首次发布

生产应用专栏收录该内容

6 篇文章

订阅专栏

1. 背景

1.1 概述

最近在加强网站的安全性，使用了华为云的漏洞扫描服务，发现存在高风险的Git存储库泄露。这是由于对于对Gitlab的系统和目录结构不够熟悉，没有做好及时的规避。

1.2 详情

以上漏洞的现象为，访问站点下的https:xxx.domain.com/.git/config 可以下载相关文件，内容如下：

[core]
	repositoryformatversion = 0
	filemode = true
	bare = false
	logallrefupdates = true
[remote "origin"]
	url = ssh://git@xxx.domain.com/root/project_xxx.git
	fetch = +refs/heads/*:refs/remotes/origin/*

很明显，暴露出了你的代码仓库地址，接下来黑客可以做的就是：拉下你的代码、分析你的业务、得到你的数据库连接信息。可想而知风险非常大。

2. 处理方式

2.1 Nginx拒绝访问

从最外层的流量网关禁止访问相关文件，可以在Nginx的对应server下配置：

    # 避免暴露 .git 目录
    location ~ /.git/ {
          deny all;
    }

2.2 Jenkins发布过滤

在Jenkins拉完代码之后会进行编译，之后的部署只需要编译后的文件（tar或者dist目录下的静态资源文件）。对于使用rsync命令推送的代码，可以使用--exclude=.git 排除掉。

rsync -vauP -e  --exclude=.git 'ssh -p 22' /root/.jenkins/workspace/project_xxx/* root@192.168.1.191:/opt/openresty/nginx/html/project_xxx

3. 总结

安全无小事，要了解各个工具的运行机制，避免出现暴露出核心的代码文件。另外还可以通过公有云平台的漏洞检查工具，定期进行审查，防患于未然。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

凡尘技术

关注关注

1
点赞
踩
3

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Git项目的文件泄露分析和漏洞修复

CoffeMilk的博客

08-26

1254

如果我们的项目是使用【git clone】部署在服务器端且开启了目录浏览功能，就会存在.git源码泄露漏洞（.git文件夹默认是隐藏的）。

git泄露（一篇文章就够了）

m0_67170526的博客

01-13

2080

当大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境，这就引起了git泄露漏洞。通过git泄露，我们可以获取到源代码、提交历史、分支信息、配置信息、开发者信息和一些其他敏感信息。git泄露在ctf中的应用绝大部分是和代码审计一起出的，往往是ctfweb题中的第一步，所以至关重要。

3 条评论您还未登录，请先登录后发表或查看评论

.git/config 文件到底是干什么的？一共包含哪些部分？使用场景是什么？底层原理是什么？

最新发布

长风破浪会有时的博客

04-30

951

是 Git 的配置文件，存储了当前仓库的本地配置信息。它定义了仓库的行为（如远程仓库地址、分支跟踪规则等），并允许开发者通过修改该文件或使用。文件是一个 INI 格式的文本文件，包含多个部分（Section）。文件，你可以灵活地管理和定制 Git 仓库的行为！开头，后续是键值对（Key-Value）。命令来调整 Git 的运行方式。

git信息泄露漏洞

m0_52587327的博客

04-21

4086

目录git信息泄露漏洞危害git介绍确定是否存在泄露获取漏洞的源码GitHack使用例题buu [GXYCTF2019]禁止套娃后记学习参考 git信息泄露漏洞当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。危害攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等，攻击者可能直接控制服务器。 git介绍参考https://blog.csdn.net/xy_su

git泄露

2401_82388450的博客

04-16

2944

git log --pretty=oneline //加参，简洁查看$ git reflog //查看每一次修改历史$ cat test.txt //查看文件内容$ git status //查看工作区中文件当前状态。

.git泄露

qq_46277212的博客

11-06

887

漏洞简介开发人员在开发过程中遗忘删除 .git 文件夹，导致攻击者可以通过 .git 文件夹中的信息获取开发人员提交过的所有源码。从而导致服务器被攻击沦陷如何访问 127.0.0.1/.git 或127.0.0.1/.git/config 如果有文件内容返回，则有 .git 文件泄露 GitHack是一个测试.git泄露的脚本，git信息泄露危害很大。例如：python2 GitHack.py http://192.168.6.32/.git 看到输出后，进入到给出的目录下。 ...

git泄露漏洞

TItaniumLJA的博客

11-23

5936

git简介 git是一个开源的分布式版本控制系统，用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制，对站点自动部署。攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等，攻击者可能直接控制服务器。如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git目录 config - 包含一些配置选项 description - 仓库的描述信息，主要给gitweb等git托管系统使用 HEAD - 指定

Git泄露

weixin_51313108的博客

08-29

631

这里写目录标题Git泄露利用.git恢复文件原理GitHack找hash首先有必要说以下hash值存在的位置题目练习CTFHub练习 Git泄露 Git是分布式版本控制系统。参考文章Git作用描述。为什么Git会泄露开发人员在开发时，常常会先把源码提交到远程托管网站（如github），最后再从远程托管网站把源码pull到服务器的web目录下。因为.git文件时一个隐藏文件，如果一不小心把.git文件同样给提交，就造成此漏洞。利用.git文件恢复网站的源码，而源码里可能会有数据库的信息。利用.git恢复文

Git信息泄露

qq_43776408的博客

05-27

496

Git仓库管理 git是linux内核开发者开发的，目的是为了更好的更方便的管理linux内核当年那个开发者年仅21岁，对计算机痴迷般的热爱最后那个新建的git目录是以后我们要利用的漏洞 Git信息泄露原理第二步要下载的文件其实就是第一步找到的文件我很好奇为啥第一步找到了不直接下载？ Git实验环境搭建 kali上步骤以apache服务为例你先切换到apache服务目录然后启动apache服务器在该目录下新建一个文件夹叫git_test 然后在该目录下新建一个git仓库 git ini

.Git 仓库敏感信息泄露

qq_40898302的博客

10-17

429

Git是由林纳斯·托瓦兹（Linus Torvalds）命名的，它来自英国俚语，意思是“混账”，Git是一个分布式版本控制软件，最初由林纳斯·托瓦兹（Linus Torvalds）创作，于2005年以GPL发布。最初目的是为更好地管理Linux内核开发而设计。Git最初只是作为一个可以被其他前端（比如CoGito或StGit）包装的后端而开发的，但后来Git内核已经成熟到可以独立地用作版本控制。很多著名的软件都使用Git进行版本控制，其中包括Linux内核、X.Org服务器和OLPC内核等项目的开发流程。

【漏洞学习——Git信息泄露】360某系统git配置不当导致源码泄露

Fly_鹏程万里

02-22

1016

漏洞细节 ##URL http://api.b.360.cn/.git 发现是天擎的管理后台源码 <!DOCTYPE html> <html lang="zh-CN"> <head> <meta charset="utf-8"> <meta http-equiv="X-UA-Compatible"

七、信息泄露[git、vim]

黑日里不灭的light

10-23

985

解释：Git信息泄露是指通过公开或错误地配置版本控制系统Git，导致敏感数据（例如API密钥、数据库密码、个人信息等）被泄露到公共代码仓库或其他未授权的访问者手中。通俗来说，在公网暴露类似（将.git目录直接被人访问）将会导致源码被人下载查看到。

Git泄露相关知识点

2201_75437983的博客

10-18

1715

点开看了以后里面什么都没有，注意这里一定要进去到了文件里面以后再打开终端，执行git log，git log 显示到HEAD所指向的commit为止的所有commit记录，简单说来就是可以查看之前版本的记录（删除了的看不见），git reflog和git log功能一样（删除了的也能查看）。可以看到我们git log以后我们能看到三个版本的哈希值，一个是现在所在的版本（remove flag）,一个是前版本（add flag）,一个是初始化的版本（init），而我们现在的版本大家也看到的是空白的一个文件。

.git文件泄露

qq_46635165的博客

11-20

4745

知识点 git文件泄露详情简述.git文件导致的源码泄露 .git文件是开发人员在开发过程中使用 Git(分布式版本控制系统)做开发时产生的隐藏目录，该文件包含一些版本信息和网站源码，数据库信息等敏感信息。原理利用 1、通常开发人员在开发时，通常将源码提交到远程的托管网站（如Github）方便管理与交互，等到开发最后阶段，再将源码从远程服务器上下载到 web 目录下，如果开发人员忘记将其中的 .git文件删除，则可以通过 .git文件恢复网站源码，来获取一些敏感信息； 2、开发人员对..

互联网大漏洞：每600个网站就有1个暴露了.git文件夹

love_candy333的博客

07-27

929

对于Web开发人员来说，向外界暴露你的.git文件夹绝对是一个菜鸟级错误。因为这样会允许任何人下载你的整个源代码存储库，包括数据库密码、加密盐、Hash和第三方接口密钥API，还有你的用户名和密码。多年来，作为个人项目，我建立了150万的网站数据库，大多是权威网站（比如BBC、《卫报》，或者涉及政府、教育及军事领域的网站）。在这150万网站中，2402个的.git文件夹被暴露且可下载，0.16%颇...

git泄露漏洞总结

weixin_66839513的博客

04-02

3710

Git泄露是指在使用Git版本控制系统时，由于配置不当或者操作失误，导致敏感信息（如密码、密钥、源代码等）被意外地上传到公开的代码仓库或者其他公开可访问的地方，从而被未授权的人获取到。

git源码泄露

wangzhemvp的博客

04-02

944

（1）看看有没有提示使用了 Git，如果有就考虑存在。如果没有也可以使用 dirsearch 工具扫描后台，如果存在则会扫描出 .git 目录如图所示。但如果配置不当，可能会将 .git 文件夹直接部署到线上环境，这就引起了 git 泄露漏洞，我们。GitHack是一个.git泄露利用脚本，通过泄露的.git文件夹下的文件，重建还原工程源代码。（3）访问 .git/head 文件，如果能下载也能推断存在 Git 源码泄露。（2）直接通过网页访问 .git 目录，如果能访问就说明存在。//相对于过滤了 ..

Git泄露总结

qq_43511094的博客

03-22

4995

Git泄露gobuster泛域名是什么dirsearch.pywgetgit_extractdirbgit refloggit泄露利用工具不止GitHack gobuster 泛域名是什么 dirsearch.py wget git_extract dirb git reflog git泄露利用工具不止GitHack

remote: Repository not found. fatal: Authentication failed for 'https://github.com/AAAABAAAA-hh/python.git/'

03-15

### 解决 GitHub 仓库认证失败问题当遇到 `GitHub repository not found` 或 `authentication failed` 的错误时，通常是因为本地 Git 配置不正确或者远程 URL 设置有问题。以下是针对该问题的具体解决方案： #### 1. 更新远程仓库 URL 如果当前使用的协议或身份验证方式存在问题，则可以尝试更新远程仓库的 URL 到 HTTPS 协议并加入用户名以便于登录操作[^1]。 ```bash git remote set-url origin https://yourusername@github.com/owner/repo.git ``` 此命令会将现有的远程地址替换为新的包含用户名的形式，从而允许通过 HTTPS 进行更安全的身份验证。 #### 2. 检查全局配置设置确保已正确定义了用户的电子邮件和名称信息，这对于提交更改到版本控制系统非常重要[^2]。 ```bash git config --global user.email "you@example.com" git config --global user.name "Your Name" ``` 这些基本信息不仅有助于识别贡献者身份，在某些情况下也会影响权限校验过程中的行为表现。 #### 3. 处理 SSL 握手失败的情况对于因网络环境引起的 SSL 错误 (如 ABAP 中提到的 SSSLERR_SSL_READ)，虽然目前此类技术障碍已被克服，但仍需注意后续可能出现的相关认证挑战[^3]。此时建议重新审视个人访问令牌(Personal Access Token, PAT)的有效性和适用范围；必要时创建一个新的PAT，并赋予适当的操作许可级别(比如repo scope)来替代原有的密码机制完成进一步的安全加固措施。另外还可以考虑启用Git Credential Manager Core工具帮助管理跨平台下的凭证存储需求，简化多设备间的切换流程体验。 --- ### 注意事项 - 如果以上方法仍无法解决问题，请确认目标库是否存在以及是否有足够的读写权限。 - 对敏感数据采取必要的保护手段，切勿随意泄露账号详情给不可信方。