hacktricks/src/network-services-pentesting/pentesting-web/git.md

# Git

{{#include ../../banners/hacktricks-training.md}}

**Aby zrzucić folder .git z URL, użyj** [**https://github.com/arthaud/git-dumper**](https://github.com/arthaud/git-dumper)

**Użyj** [**https://www.gitkraken.com/**](https://www.gitkraken.com/) **do inspekcji zawartości**

Jeśli w aplikacji internetowej znajdziesz katalog _.git_, możesz pobrać całą zawartość używając _wget -r http://web.com/.git._ Następnie możesz zobaczyć wprowadzone zmiany używając _git diff_.

Narzędzia: [Git-Money](https://github.com/dnoiz1/git-money), [DVCS-Pillage](https://github.com/evilpacket/DVCS-Pillage) i [GitTools](https://github.com/internetwache/GitTools) mogą być używane do odzyskiwania zawartości katalogu git.

Narzędzie [https://github.com/cve-search/git-vuln-finder](https://github.com/cve-search/git-vuln-finder) może być używane do wyszukiwania CVE i wiadomości o lukach w zabezpieczeniach w wiadomościach commitów.

Narzędzie [https://github.com/michenriksen/gitrob](https://github.com/michenriksen/gitrob) przeszukuje wrażliwe dane w repozytoriach organizacji i jej pracowników.

[Repo security scanner](https://github.com/UKHomeOffice/repo-security-scanner) to narzędzie oparte na wierszu poleceń, które zostało napisane z jednym celem: pomóc Ci odkryć sekrety GitHub, które deweloperzy przypadkowo ujawnili, przesyłając wrażliwe dane. I podobnie jak inne, pomoże Ci znaleźć hasła, klucze prywatne, nazwy użytkowników, tokeny i inne.

[TruffleHog](https://github.com/dxa4481/truffleHog) przeszukuje repozytoria GitHub i bada historię commitów oraz gałęzie, szukając przypadkowo zatwierdzonych sekretów.

Tutaj możesz znaleźć badanie na temat github dorks: [https://securitytrails.com/blog/github-dorks](https://securitytrails.com/blog/github-dorks)

{{#include ../../banners/hacktricks-training.md}}