GitHack是一個.git資料夾洩漏漏洞。
.git
It rebuild source code from .git folder while keep directory structure unchanged.
GitHack是一個.git洩露利用腳本,通過洩露的.git資料夾下的檔案,重建還原工程原始程式碼。
滲透測試人員、攻擊者,可以進一步稽核程式碼,挖掘:文件上傳,SQL注射等web安全性漏洞。
工作原理
- 解析.git/index檔案,找到工程中所有的:(檔名,檔案sha1)
- 去.git/objects/資料夾下下載對應的檔案
- zlib解壓檔案,按原始的目錄結構寫入原始程式碼
用法示例
GitHack.py http://www.openssl.org/.git/
謝謝
感謝sbp的出色工作,我使用了他的.git索引解析器gin-一個git索引檔案解析器。