Accessible Deleted Data in Github
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Αυτοί οι τρόποι πρόσβασης σε δεδομένα από το Github που υποτίθεται ότι διαγράφηκαν αναφέρθηκαν σε αυτήν την ανάρτηση ιστολογίου.
Δημιουργείτε ένα δημόσιο αποθετήριο
Δεσμεύετε κώδικα στο fork σας
Διαγράφετε το fork σας
Τα δεδομένα που δεσμεύτηκαν στο διαγραμμένο fork είναι ακόμα προσβάσιμα.
Έχετε ένα δημόσιο repo στο GitHub.
Ένας χρήστης δημιουργεί fork το repo σας.
Δεσμεύετε δεδομένα μετά την δημιουργία του fork (και δεν συγχρονίζουν ποτέ το fork τους με τις ενημερώσεις σας).
Διαγράφετε ολόκληρο το repo.
Ακόμα και αν διαγράψατε το repo σας, όλες οι αλλαγές που έγιναν σε αυτό είναι ακόμα προσβάσιμες μέσω των forks.
Δημιουργείτε ένα ιδιωτικό repo που τελικά θα γίνει δημόσιο.
Δημιουργείτε μια ιδιωτική, εσωτερική έκδοση αυτού του repo (μέσω fork) και δεσμεύετε επιπλέον κώδικα για δυνατότητες που δεν πρόκειται να δημοσιεύσετε.
Κάνετε το “upstream” αποθετήριο δημόσιο και κρατάτε το fork σας ιδιωτικό.
Είναι δυνατόν να αποκτήσετε πρόσβαση σε όλα τα δεδομένα που μεταφέρθηκαν στο εσωτερικό fork κατά την διάρκεια μεταξύ της δημιουργίας του εσωτερικού fork και της δημοσιοποίησης της δημόσιας έκδοσης.
Η ίδια ανάρτηση ιστολογίου προτείνει 2 επιλογές:
Εάν είναι γνωστή η τιμή ID δέσμευσης (sha-1), είναι δυνατόν να αποκτηθεί πρόσβαση σε αυτήν στο https://github.com/<user/org>/<repo>/commit/<commit_hash>
Είναι το ίδιο για την πρόσβαση και στις δύο αυτές:
Και η τελευταία χρησιμοποιεί μια σύντομη sha-1 που είναι brute-forceable.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
