hacktricks/src/network-services-pentesting/pentesting-web/git.md

# Git

{{#include ../../banners/hacktricks-training.md}}

**Um einen .git-Ordner von einer URL zu dumpen, verwenden Sie** [**https://github.com/arthaud/git-dumper**](https://github.com/arthaud/git-dumper)

**Verwenden Sie** [**https://www.gitkraken.com/**](https://www.gitkraken.com/) **um den Inhalt zu inspizieren**

Wenn ein _.git_-Verzeichnis in einer Webanwendung gefunden wird, können Sie den gesamten Inhalt mit _wget -r http://web.com/.git_ herunterladen. Dann können Sie die vorgenommenen Änderungen mit _git diff_ anzeigen.

Die Tools: [Git-Money](https://github.com/dnoiz1/git-money), [DVCS-Pillage](https://github.com/evilpacket/DVCS-Pillage) und [GitTools](https://github.com/internetwache/GitTools) können verwendet werden, um den Inhalt eines git-Verzeichnisses abzurufen.

Das Tool [https://github.com/cve-search/git-vuln-finder](https://github.com/cve-search/git-vuln-finder) kann verwendet werden, um nach CVEs und Sicherheitsanfälligkeiten in Commit-Nachrichten zu suchen.

Das Tool [https://github.com/michenriksen/gitrob](https://github.com/michenriksen/gitrob) sucht nach sensiblen Daten in den Repositories von Organisationen und deren Mitarbeitern.

[Repo security scanner](https://github.com/UKHomeOffice/repo-security-scanner) ist ein kommandozeilenbasiertes Tool, das mit einem einzigen Ziel geschrieben wurde: Ihnen zu helfen, GitHub-Geheimnisse zu entdecken, die Entwickler versehentlich durch das Pushen sensibler Daten erstellt haben. Und wie die anderen wird es Ihnen helfen, Passwörter, private Schlüssel, Benutzernamen, Tokens und mehr zu finden.

[TruffleHog](https://github.com/dxa4481/truffleHog) durchsucht GitHub-Repositories und gräbt durch die Commit-Historie und Branches, um versehentlich kommittierte Geheimnisse zu finden.

Hier finden Sie eine Studie über GitHub-Dorks: [https://securitytrails.com/blog/github-dorks](https://securitytrails.com/blog/github-dorks)

{{#include ../../banners/hacktricks-training.md}}