.git 泄露源代码

于 2025-07-14 17:01:23 发布
阅读量120 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: CICD、git github、maven 文章标签: git githack 漏洞 git archive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23204557/article/details/149334543

某日收到浙大的一份漏洞报告:
在这里插入图片描述
源代码泄露:攻击者可以通过 .git 目录下载整个项目的源代码。githack 工具:这是一种专门用于从公开的 .git 目录中提取完整项目源代码的工具。如截图所示,使用 githack 工具可以轻松地将源代码下载到本地。

原因:我是把整个目录(包括.git目录)上传到部署服务器的。

浙大同时也提供了修复建议:可修改部署方式为git archive。
因为git archive命令生成的归档文件(如 .tar 或 .zip)不包含 .git 目录及相关元数据。
亲测运行git archive --format=zip --output=hanfu-swap-face.zip HEAD ,就生成了hanfu-swap-face.zip,其中不包含.git目录。

实战中的.git信息泄露利用
G3et的博客
04-16 809
其实这个是非常简单的哈,但很多人看见.git不知道这个漏洞就放弃了.git文件夹是一种常见的源代码版本控制系统(如Git)使用的文件夹,用于跟踪文件和文件夹的更改。如果这个文件夹被泄露,那么你的代码和版本控制信息也会被泄露
【CTF】BugKu-.git源码泄露
lga0325的博客
10-27 662
开发人员在使用git进行版本控制时,配置不当,将.git文件部署到了线上环境,导致可以直接访问到.git下的文件,利用者可以通过该文件获取到网页源码。
GIT漏洞详解
最新发布
2302_81514096的博客
06-10 1006
Git 客户端或服务端(如 GitLab、GitHub)的代码缺陷可能被利用,导致远程代码执行(RCE)、权限提升等风险。作为安全工程师,Git 泄露是渗透测试中的“低垂果实”,掌握其原理和利用工具能显著提升实战能力!目录暴露在公网,攻击者可下载完整源码及历史记录。因部署或配置错误,导致。
.git源码泄露
打代码的小女孩
11-17 942
0X00 原理 在网站安全维护方面,git和svn信息泄露是非常常见也是非常致命的一个漏洞。 当前大量开发人员使用git进行版本控制,对站点自动部署。 如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞GitHack是一个.git泄露利用脚本,通过泄露.git文件夹下的文件,还原重建工程源代码。 渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注...
git源代码泄露
qq_53099802的博客
05-27 3608
git泄露和php的assert漏洞
git泄露
2401_82388450的博客
04-16 3012
git log --pretty=oneline //加参,简洁查看$ git reflog //查看每一次修改历史$ cat test.txt //查看文件内容$ git status //查看工作区中文件当前状态。
git源码泄露
qq_40390383的博客
03-13 315
.git源码泄露
GitHack:自动还原.git泄露源代码的必备工具
.git目录包含了仓库的完整版本历史和配置信息,这意味着任何拥有访问权限的人都可以通过分析这些信息来还原出完整的项目源代码GitHack是一个被设计用来检测和利用这种.git信息泄露的脚本工具。 Git泄露漏洞的危害...
githack泄露利用_softlysu3_ctfgithack_githack_CTF之.git泄露_githack下载_
10-03
`.git` 目录是Git版本控制系统的一部分,通常包含项目的完整历史记录和敏感信息,如源代码、配置文件等。如果Web服务器意外地暴露了这个目录,攻击者可以通过GitHack来获取这些信息,从而可能实施数据泄露、代码注入...
.Git 仓库敏感信息泄露
qq_40898302的博客
10-17 453
Git是由林纳斯·托瓦兹(Linus Torvalds)命名的,它来自英国俚语,意思是“混账”,Git是一个分布式版本控制软件,最初由林纳斯·托瓦兹(Linus Torvalds)创作,于2005年以GPL发布。最初目的是为更好地管理Linux内核开发而设计。Git最初只是作为一个可以被其他前端(比如CoGito或StGit)包装的后端而开发的,但后来Git内核已经成熟到可以独立地用作版本控制。很多著名的软件都使用Git进行版本控制,其中包括Linux内核、X.Org服务器和OLPC内核等项目的开发流程。
git源码泄露脚本
12-20
不同于lijiejie所写的git源码获取,不是通过index的相关信息进行获取
GitHack改进版(git源码泄露恢复工具)
09-26
GitHack改进版(git源码泄露恢复工具)可以恢复git文件和目录,实现版本还原,比原版的功能更强大
攻防世界 mfw(Git源码泄露与命令执行漏洞
Welcome To Myon'Blog !
06-01 2545
Git 源码泄露: 1、strpos() 函数 2、assert()函数 3、file_exists() 函数 4、die()函数 代码审计: 命令执行漏洞
Git泄露
cyy001128的博客
04-23 2377
通过git stash存储的修改列表,可以通过git stash list查看,git stash show用于校验,git stash apply用于重新存储,直接执行git stash等同于git stash save,执行 git stash pop 是恢复文件。前几步大致相同,都是用dirsearch扫描是否存在git漏洞,然后打开githack连接,后面则是分为git log,git stash和git index几种。用git reset --hard 回退版本,打开文件夹可找到flag。
git泄露(一篇文章就够了)
m0_67170526的博客
01-13 3025
当大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境,这就引起了git泄露漏洞。通过git泄露,我们可以获取到源代码、提交历史、分支信息、配置信息、开发者信息和一些其他敏感信息。git泄露在ctf中的应用绝大部分是和代码审计一起出的,往往是ctfweb题中的第一步,所以至关重要。
信息搜集-Git信息泄露
qq_25899635的博客
05-20 1685
Git仓库介绍 Git(读音为/gIt/.)是一个开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。 https://git-scm.com/ 通过git init创建一个仓库。 Git信息泄露原理 通过泄露.git文件夹下的文件,还原重建工程源代码。 解析.git/index文件,找到工程中所有的: (文件名,文件sha1) 去.git/objects/文件夹下载对...
git泄露漏洞总结
weixin_66839513的博客
04-02 3860
Git泄露是指在使用Git版本控制系统时,由于配置不当或者操作失误,导致敏感信息(如密码、密钥、源代码等)被意外地上传到公开的代码仓库或者其他公开可访问的地方,从而被未授权的人获取到。
CTF中的GIT泄露
zy_mpy的博客
03-13 3379
由于本人也是一名ctf的萌新,所以笔记比较易懂但又不可避免的浅显,如有错误,欢迎各路大神来指正。先简单介绍一下GitGit是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。发布代码的时候,如果没有把,git这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码,这就引起了git泄露漏洞。处理Git泄露的题目时,需要用到scrabble,dirsearch和gihack三个工具。一、常规git泄露常规 gi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_23204557

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值