简单介绍

在github上不仅可以找到很多网站、框架的源码等，也可以找到注入用户名、口令、数据库配置等信息，如下图所示敏感信息泄露和数据库配置泄露。

工具

githack
GitHack是一个.git泄露利用脚本，通过泄露的.git文件夹下的文件，重建还原工程源代码。
用法示例: GitHack.py http://www.openssl.org/.git/

利用方式

Github搜索
搜索特殊关键词
@xxx.com password/secret/credentials/token
@xxx.com config/key/pass/login/ftp/pwd
搜索连接凭证
@xxx.com security_credentials/connetionstring
@xxx.com JDBC/ssh2_auth_password/send_keys