.git 泄露

Githack

GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。
渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。

安装

基于 python2 

  1. git clone https://github.com/lijiejie/GitHack
  2. cd GitHack
  3. chmod +x GitHack.py

使用

  1. GitHack.py http://f932b770-3066-41cb-83b4-0bc7e3b77c31.node4.buuoj.cn:81/.git

需要加上 **.git**
生成结果存放在当前目录下以域名_端口命名的文件夹内

Githacker

这是一个多线程工具,用于检测站点是否存在 .git 文件夹泄漏漏洞。.git 几乎可以完全下载目标文件夹。当该 DirectoryListings 功能被禁用时,此工具也有效。值得一提的是,该工具会下载目标 git 存储库的几乎所有文件,然后在本地重建,这使得该工具在该领域处于领先地位。例如,像 [githack] 这样的工具只是简单地恢复最新版本。在 GitHacker 的帮助下,可以查看开发者的提交历史,可以更好的了解开发者的性格和心理,为进一步的代码试听打下基础。

安装

  • git >= 2.11.0

  • Python 3

    1. pip3 install GitHacker

    使用

    1. githacker --url http://127.0.0.1/ --folder result

  • —url:存在 git 泄露 url ,不需要添加 .git

  • —folder:泄露文件存储路径
  • —threads:线程数

对于 CTF 题目通常需要将线程数设置为 1