Git
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
URLから.gitフォルダーをダンプするには https://github.com/arthaud/git-dumper を使用します。
コンテンツを検査するには https://www.gitkraken.com/ を使用します。
ウェブアプリケーションに_.git_ディレクトリが見つかった場合、_wget -r http://web.com/.git_を使用してすべてのコンテンツをダウンロードできます。その後、_git diff_を使用して行われた変更を確認できます。
ツール:Git-Money、DVCS-Pillage、およびGitToolsを使用して、gitディレクトリのコンテンツを取得できます。
ツールhttps://github.com/cve-search/git-vuln-finderは、コミットメッセージ内のCVEおよびセキュリティ脆弱性メッセージを検索するために使用できます。
ツールhttps://github.com/michenriksen/gitrobは、組織およびその従業員のリポジトリ内の機密データを検索します。
Repo security scannerは、コマンドラインベースのツールで、開発者が誤って機密データをプッシュして作成したGitHubの秘密を発見するのを助けることを目的としています。他のツールと同様に、パスワード、秘密鍵、ユーザー名、トークンなどを見つけるのに役立ちます。
TruffleHogは、GitHubリポジトリを検索し、コミット履歴やブランチを掘り下げて、誤ってコミットされた秘密を探します。
ここでGitHubドークに関する研究を見つけることができます:https://securitytrails.com/blog/github-dorks
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)