GitHack：一个git泄露利用脚本

当今很多开发者应用git开展版本控制，对站名全自动布署。要是配备不善，将会会将.git文件夹名称立即布署到线上线下自然环境。这就造成了git泄漏系统漏洞。

　　是1个.git泄漏运用检测脚本制作，根据泄漏的文档，复原复建工程项目源码。

　　数据泄露的伤害挺大，渗透测试工作人员、网络攻击，可立即从源代码获得比较敏感配备信息内容（如：电子邮箱，数据库查询），还可以深化财务审计编码，发掘文件上传、SQL打针等网络安全问题。FreeBuf以前也是有关报导，点我围观者。

　　原理

　　、分析.git/index文档，寻找工程项目中全部的：?(?文件夹名称，文档

　　、去.git/objects/?文件夹名称下免费下载相匹配的文档

　　、zlib解压缩文件，按初始的文件目录构造载入源码

　　优势

　　更快，默认设置30个工作中进程

　　尽可能复原全部的源码，缺少的文档不危害脚本制作工作中

　　脚本制作不用实行附加的git指令，

　　脚本制作不用预览文件目录

　　将会的改善

　　存有文档被gc装包到git\objects\pack的状况，稍候可检测下看可否立即获得并解压文件这一文档，复原源码

　　使用方法实例

　　实行中截屏：

　　实行結果：

　　获得编码：

　　参考文献

　　特别感谢 sbp 的?gin – a Git index file parser，脚本制作中应用了他的分析编码，为可用python 2.x和Windows作了微小的修改