1.简介
其实这个是非常简单的哈,但很多人看见.git不知道这个漏洞就放弃了
.git文件夹是一种常见的源代码版本控制系统(如Git)使用的文件夹,用于跟踪文件和文件夹的更改。如果这个文
件夹被泄露,那么你的代码和版本控制信息也会被泄露。
2.git目录文件结构
├── HEAD — 当前 branch 指针。一般指向 refs/heads/ 里的 branch
├── index — 当前branch 项目文件的 map
├── logs — 日志目录
│ ├── HEAD — 日志记录
├── objects — 项目文件目录
│ ├── info — pack文件指针(通常在客户端)
│ └── pack — pack文件目录
└── refs — branch 和 tags 目录
├── heads — 存放各个 branches 的指针
├── stash — 存放 stash文件
3.攻击利用
比如你扫描到如下.git的这样的目录,基本上就可以来攻击一波了,但有的.git下面什么也没有
![image-20230110143815627](https://img-blog.csdnimg.cn/img_convert/05d1d89e4996f97b4ab97c2e92b2aded.png)
这里用一个lijiejie写的脚本工具
GitHack:https://github.com/lijiejie/GitHack
用法:python GitHack.py http://xxxx/.git/
![image-20230110153059391](https://img-blog.csdnimg.cn/img_convert/08d2e05b69f5fba607832b353129ee2c.png)
下载完成后你就可以看见源码了,然后直接白盒审计开干,你也可以翻找一些数据库配置之类的
![](https://img-blog.csdnimg.cn/img_convert/a0d1695e15624206eff2c36e15868cc4.png)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)