前言

Git是一个非常流行的开源分布式版本控制系统，它被广泛用于协同开发和代码管理。许多网站和应用程序都使用Git作为其代码管理系统，并将其部署到生产环境中以维护其代码库。

然而，在配置不当的情况下，可能会导致.git文件夹被直接部署到线上环境中，这可能会导致Git泄露问题。

可通过githack下载泄露的Git存储库，以获取包含未加密密码、凭据和敏感信息的站点代码库。

---

安装步骤

1.从GitHub上下载githack的源代码 https://github.com/lijiejie/GitHack

2.将其解压到Python3的Tools目录下

3.在命令行窗口中切换到githack源代码的目录

执行如下命令来安装githack所需的第三方库：

pip install -r requirements.txt

如果cmd窗口回显如下：

ERROR: Could not open requirements file: [Errno 2] No such file or directory: 'requirements.txt'
WARNING: You are using pip version 21.2.4; however, version 23.1.2 is available.
You should consider upgrading via the 'C:\Python3\python.exe -m pip install --upgrade pip' command.

说明在githack源代码目录中找不到名为requirements.txt的文件，可手动安装githack所需的第三方库。这里列出了githack所需的所有依赖项：

• GitPython==2.1.11
• pathlib==1.0.1

按照以下步骤使用pip来下载依赖项：

1.打开命令行窗口并切换到githack源代码所在的目录。

2.依次运行以下命令：

pip install GitPython==2.1.11
pip install pathlib==1.0.1

3.确认所有依赖项都已成功安装。

4.在githack目录下打开cmd：

输入以下命令来使用githack

python githack.py http://example.com/.git/

其中，将http://example.com/.git/替换为实际目标Git存储库的URL。
如：python githack.py http://2023.5.29.qiu/.git/

演示如下：

5.githack将自动下载并提取Git存储库的完整历史记录和配置信息，保存在当前目录下的.git目录中，进入该目录查看即可

---

工具使用实战

链接： [CSAW/网络安全] Git泄露+命令执行 攻防世界 mfw 解题详析

---

总结

本文仅分享Githack工具基本安装及使用相关知识，我是秋说，我们下次见。