hacktricks/src/network-services-pentesting/pentesting-web/git.md

# Git

{{#include ../../banners/hacktricks-training.md}}

**Щоб вивантажити папку .git з URL, використовуйте** [**https://github.com/arthaud/git-dumper**](https://github.com/arthaud/git-dumper)

**Використовуйте** [**https://www.gitkraken.com/**](https://www.gitkraken.com/) **для перевірки вмісту**

Якщо в веб-додатку знайдена директорія _.git_, ви можете завантажити весь вміст, використовуючи _wget -r http://web.com/.git._ Потім ви можете побачити зміни, використовуючи _git diff_.

Інструменти: [Git-Money](https://github.com/dnoiz1/git-money), [DVCS-Pillage](https://github.com/evilpacket/DVCS-Pillage) та [GitTools](https://github.com/internetwache/GitTools) можуть бути використані для отримання вмісту директорії git.

Інструмент [https://github.com/cve-search/git-vuln-finder](https://github.com/cve-search/git-vuln-finder) може бути використаний для пошуку CVE та повідомлень про вразливості безпеки в повідомленнях комітів.

Інструмент [https://github.com/michenriksen/gitrob](https://github.com/michenriksen/gitrob) шукає чутливі дані в репозиторіях організацій та їхніх співробітників.

[Repo security scanner](https://github.com/UKHomeOffice/repo-security-scanner) - це інструмент на основі командного рядка, який був написаний з єдиною метою: допомогти вам виявити секрети GitHub, які розробники випадково зробили, завантажуючи чутливі дані. І, як і інші, він допоможе вам знайти паролі, приватні ключі, імена користувачів, токени та інше.

[TruffleHog](https://github.com/dxa4481/truffleHog) шукає в репозиторіях GitHub і досліджує історію комітів та гілки, шукаючи випадково закомічені секрети.

Тут ви можете знайти дослідження про github dorks: [https://securitytrails.com/blog/github-dorks](https://securitytrails.com/blog/github-dorks)

{{#include ../../banners/hacktricks-training.md}}