柚子快報(bào)邀請(qǐng)碼778899分享：七、信息泄露[git、vim]

http://yzkb.51969.com/

一、git信息泄露

解釋：Git信息泄露是指通過(guò)公開(kāi)或錯(cuò)誤地配置版本控制系統(tǒng)Git，導(dǎo)致敏感數(shù)據(jù)（例如API密鑰、數(shù)據(jù)庫(kù)密碼、個(gè)人信息等）被泄露到公共代碼倉(cāng)庫(kù)或其他未授權(quán)的訪問(wèn)者手中。通俗來(lái)說(shuō)，在公網(wǎng)暴露類似http://127.0.0.1/.git/（將.git目錄直接被人訪問(wèn)）將會(huì)導(dǎo)致源碼被人下載查看到

二、git敏感操作

情況1： 情景：.git目錄可以直接訪問(wèn)，也就是.git可以直接通過(guò)wget進(jìn)行下載

下載對(duì)方git：wget -r http://114.67.175.224:15402/.git/(先進(jìn)入下載到文件的目錄然后ls -al才能看到目錄下面多了個(gè).git目錄)查看提交歷史記錄：git reflog查看某次提交的細(xì)節(jié)信息：git show d256328(d256328就是git reflog第一列的內(nèi)容) 情況2： 情景：.git訪問(wèn)為403，無(wú)法直接通過(guò)wget下載

下載工具：git clone https://github.com/kost/dvcs-ripper.git配置環(huán)境：sudo apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-perl libio-all-lwp-perl

sudo apt-get install libparallel-forkmanager-perl libredis-perl libalgorithm-combinatorics-perl

sudo apt-get install cvs subversion git bzr mercurial

cd進(jìn)入dvcs-ripper進(jìn)行下載：perl rip-git.pl -v -u http://www.example.com/.git/ 注意：使用該工具.git信息自動(dòng)下載到當(dāng)前目錄，沒(méi)有新建文件夾，建議每次使用該工具前，重新git clone一樣

三、直接下載源代碼

解釋：利用github上面提供的代碼，執(zhí)行后即可下載上源文件

下載：git clone https://github.com/lijiejie/GitHack.git找到GitHack.py使用下載命令：python GitHack.py http://127.0.0.1/.git/

四、git基本操作

1.初始

初始化：git init添加到暫存區(qū)：git add . #'.'表示所有提交到歷史區(qū)：git commit -m 'first' #-m:message添加與刪除遠(yuǎn)程倉(cāng)庫(kù)地址git remote add 自定義名字 地址 git remote rm 自定義名字提交到遠(yuǎn)端倉(cāng)庫(kù)：git push -u 自定義添加過(guò)的遠(yuǎn)程倉(cāng)庫(kù)名 分支名字 #跟上面添加內(nèi)容有關(guān)

2.維護(hù)

2.1 暫存區(qū)維護(hù)

查詢添加到暫存區(qū)的內(nèi)容：git status刪除添加到暫存區(qū)的文件：git rm --cached 文件名

2.2 工作區(qū)維護(hù)

查詢工作區(qū)提交記錄：git log --oneline #可來(lái)查看唯一版本號(hào);查詢歷史提交記錄（包括回滾的都可以恢復(fù)）：git reflog撤回到版本號(hào)：git reset 3.1 --hard git reset --hard 版本號(hào) #使得暫存區(qū)和工作區(qū)都恢復(fù)到目標(biāo)版本 3.2 --mixed git reset --mixed 版本號(hào) #使得暫存區(qū)恢復(fù)到目標(biāo)版本 3.3 --soft git reset --soft 版本號(hào) #只刪除commit歷史，不改變暫存區(qū)和工作區(qū)切換版本號(hào)：git check HEAD^ #此為上一個(gè)版本，可自行復(fù)制版本號(hào)，此可切換到臨時(shí)分支 4.1 保存到分支：git branch 新分支 臨時(shí)分支名 #這樣是因?yàn)榕R時(shí)分支不會(huì)被記住，不能保存

3.分支操作

創(chuàng)建：git branch 名字（創(chuàng)建但沒(méi)有切換過(guò)去）切換分支：git checkout 分支名字合并分支：git merge 分支名字刪除分支：git branch -d 分支名字

4.下載操作

代碼：git clone 地址

5.設(shè)置與刪除代理

全局：git config --global http.proxy http://127.0.0.1:10809指定：git config --global http.https://gitee.com.proxy http://127.0.0.1:1081#指定對(duì)碼云這個(gè)網(wǎng)站（全局）刪除：git config --global --unset 內(nèi)容（用git config -l查看，找到代理等號(hào)前面的內(nèi)容）

6.輔助信息

查看分支：git branch查看提交到歷史區(qū)的詳細(xì)：git log查看目錄與暫存區(qū)的區(qū)別：git status顯示已寫入緩存與已修改但尚未寫入緩存的改動(dòng)的區(qū)別：git diff 列出添加的遠(yuǎn)端倉(cāng)庫(kù)名字：git remote -v

五、vim信息泄露

解釋：當(dāng)使用vim編輯器編寫一個(gè)index.php文件時(shí)，會(huì)有一個(gè).index.php.swp文件，如果文件正常退出，則該文件被刪除，如果異常退出，該文件則會(huì)保存下來(lái)，該文件可以用來(lái)恢復(fù)異常退出的index.php。同時(shí)多次意外退出時(shí)將會(huì)創(chuàng)建新的文件

第一次意外退出產(chǎn)生的緩存文件名為.index.php.swp第二次意外退出后，文件名為.index.php.swo第三次產(chǎn)生的緩存文件則為.index.php.swn(注意：index前有 . )

恢復(fù)成原文件：vim -r .index.php.swp

柚子快報(bào)邀請(qǐng)碼778899分享：七、信息泄露[git、vim]

http://yzkb.51969.com/

精彩鏈接