.git文件泄露常见手法

(1)下载git文件

  1. 使用linux系统的wget命令下载
    wget -r <ip:port>/.git
    其中-r参数是递归下载,.git文件下的所有文件
  2. githack
    开源工具 https://github.com/lijiejie/GitHack
    使用命令:
    python3 GitHack.py http://target/.git/
    可以自动解析回复仓库源码
  3. git-dumper
    开源工具 https://github.com/arthaud/git-dumper
    使用命令
    python3 git_dumper.py http://target/.git/ ./source
    同样自动解析还原仓库

(2)git文件结构解析

  • HEAD:指向当前分支的指针。
  • config:存储仓库的配置信息。
  • description:用于描述仓库的简要信息,通常只在裸仓库中使用。
  • hooks:存放各种客户端或服务器端的钩子脚本,可以用来执行特定操作(如提交前的检查等)。
  • info:存储一些额外的配置信息,例如排除文件列表(exclude)。
  • objects:存储所有的数据对象(如提交对象、树对象和Blob对象)。
  • refs:存储分支、标签等的引用信息。
    通过泄露的git文件,可以还原以下敏感信息:
  • 当你的网站根目录下存在 .git 文件夹,并且该文件夹被错误地暴露在公网上时,攻击者就可以通过访问 .git 文件夹获取到你的项目代码、提交记录、分支信息等等敏感信息。
  • 访问源码:攻击者可以下载 .git 目录,并还原出完整的源码,包括可能敏感的配置文件、数据库凭据等。
  • 获取历史版本:攻击者可以查看项目的历史提交记录,找到敏感信息,例如在历史版本中意外提交的密码。
  • 分析开发历史:攻击者可以分析提交日志、分支结构等,了解开发流程和关键变更点,甚至发现潜在的漏洞。

(3)常用的git命令

  1. 查看日志
    git log或者git reflog
  2. 查看分支详细
    git checkout ;
    ls;
    cat ;
    或者
    show
  3. 强制回退代码版本
    git reset --hard
  4. 查看临时保存区
    git stash list
    git stash show -p(查看具体内容)
  5. 查看tag标签
    git tag
    查看tag内容:git show
  6. 查看所有分支
    git branch -a
  7. 查看忽略文件
    cat .gitignore
相关推荐
零零信安16 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手17 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub17 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
爱网络爱Linux17 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc17 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing17 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
Chengbei1117 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
X7x517 天前
深度拆解网络安全“闭环”之王——APPDRR模型
网络安全·网络攻击模型·安全威胁分析·安全架构·appdrr模型
Inhand陈工17 天前
污水泵站PLC数据上云实战:西门子PLC + 映翰通IG502 + DM平台全流程
人工智能·物联网·网络安全·阿里云·信息与通信·iot
X7x517 天前
一文讲透PADIMEE模型
网络安全·网络攻击模型·安全威胁分析·安全架构·padimee模型