.git 泄露利用腳本:GitHack
GitHack是一個.git泄露利用腳本,通過泄露的.git文件夾下的文件,重建還原工程源代碼。滲透測試人員、攻擊者,可以進一步審計代碼,挖掘:文件上傳,SQL注射等安全漏洞。
腳本的工作原理
-
解析.git/index文件,找到工程中所有的: ( 文件名,文件sha1 )
-
去.git/objects/ 文件夾下下載對應的文件
-
zlib解壓文件,按原始的目錄結構寫入源代碼
它的優點:
-
速度快,默認20個工作線程
-
盡量還原所有的源代碼,缺失部分文件不影響腳本工作
-
腳本不需要執行額外的git命令,All you need is python
-
腳本無需瀏覽目錄
可能的改進:
-
存在文件被gc打包到git\objects\pack的情況,稍后可測試下看能否直接獲取并解壓這個文件,還原源代碼
用法示例:
GitHack.py http://www.openssl.org/.git/
本文由用戶 gwxd 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!