[Python/网络安全] Git漏洞之Githack工具基本安装及使用详析

前言

本文仅分享Githack工具基本安装及使用相关知识，不承担任何法律责任。

Git是一个非常流行的开源分布式版本控制系统，它被广泛用于协同开发和代码管理。许多网站和应用程序都使用Git作为其代码管理系统，并将其部署到生产环境中以维护其代码库。

然而，在配置不当的情况下，可能会导致.git文件夹被直接部署到线上环境中，这可能会导致Git泄露问题。

可通过githack下载泄露的Git存储库，以获取包含未加密密码、凭据和敏感信息的站点代码库。

使用githack下载Git存储库的方法有两种。

方法一

1. 打开githack网站 https://githack.com/

2. 在网站上方的文本框中输入目标Git存储库的URL，例如https://example.com/.git/

3. 点击Generate link按钮生成可下载存储库的链接。

4. 将生成的链接复制到浏览器地址栏中并打开。

5. 从打开的页面中下载压缩的Git存储库文件。

方法二

如需实现快捷下载，可依照如下步骤安装使用githack

1. 从GitHub上下载githack的源代码 GitHub - lijiejie/GitHack: A `.git` folder disclosure exploit

1. 将其解压到Python3的Tools目录下

1. 在命令行窗口中切换到githack源代码的目录

执行如下命令来安装githack所需的第三方库：

pip install -r requirements.txt

如果cmd窗口回显如下：

ERROR: Could not open requirements file: [Errno 2] No such file or directory: 'requirements.txt'
WARNING: You are using pip version 21.2.4; however, version 23.1.2 is available.
You should consider upgrading via the 'C:\Python3\python.exe -m pip install --upgrade pip' command.

说明在githack源代码目录中找不到名为requirements.txt的文件，可手动安装githack所需的第三方库。这里列出了githack所需的所有依赖项：

• GitPython==2.1.11
• pathlib==1.0.1

按照以下步骤使用pip来下载依赖项：

1.打开命令行窗口并切换到githack源代码所在的目录。

2.依次运行以下命令：

pip install GitPython==2.1.11
pip install pathlib==1.0.1

3.确认所有依赖项都已成功安装。

1. 在githack目录下打开cmd：

输入以下命令来使用githack

python githack.py http://example.com/.git/

其中，将http://example.com/.git/替换为实际目标Git存储库的URL。
如：python githack.py http://2023.5.29.qiu/.git/

演示如下：

1. githack将自动下载并提取Git存储库的完整历史记录和配置信息，保存在当前目录下的.git目录中，进入该目录查看即可

总结

本文仅分享Githack工具基本安装及使用相关知识，读者请谨记：使用githack需要严格遵守法律和道德准则。确保您已获得适当的授权，并遵守与安全测试和渗透测试相关的法律法规和道德准则。