.git文件夹信息泄露漏洞利用_.git文件泄露漏洞

作者：我家自动化 | 2024-04-22 10:39:05

踩

.git文件泄露漏洞

未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

无意中使用x-ray被动扫描，扫描出了一个git文件信息泄露。

漏洞原理

通过手动验证确实可以下载到.git配置文件（.git文件夹是来自于git开源的分布式版本控制系统），由于把.git文件夹直接部署到线上环境，导致.git文件夹泄露，导致源码泄露，包括含有数据库配置文件的源代码，进而实现利用。

GitHack 是一个.git 泄露利用脚本，通过泄露的.git 文件夹下的文件，重建还原工程源代码。渗透测试人员、攻击者，可以进一步审计代码，githack是最常用的工具，它是通过.git/index,找到第一个hash值。

python githack.py http://xx.xxx.xx/.git

将泄露文件下载到本地，查看是否有敏感信息文件，发现存在database数据库连接源代码，存在登录信息。

.git文件夹不直接部署到线上环境。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/我家自动化/article/detail/468277