简单介绍

在github上不仅可以找到很多网站、框架的源码等,也可以找到注入用户名、口令、数据库配置等信息,如下图所示敏感信息泄露和数据库配置泄露。

72559-as3x306z8in.png

工具

githack
GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。
用法示例: GitHack.py http://www.openssl.org/.git/

利用方式

Github搜索
搜索特殊关键词
@xxx.com password/secret/credentials/token
@xxx.com config/key/pass/login/ftp/pwd
搜索连接凭证
@xxx.com security_credentials/connetionstring
@xxx.com JDBC/ssh2_auth_password/send_keys

本文由 wulaoban 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论