Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Las formas de acceder a datos de Github que supuestamente fueron eliminados fueron reportadas en esta publicación de blog.
Forkeas un repositorio público.
Haces un commit de código en tu fork.
Eliminas tu fork.
Los datos comprometidos en el fork eliminado aún son accesibles.
Tienes un repositorio público en GitHub.
Un usuario forkea tu repositorio.
Haces un commit de datos después de que ellos lo forkeen (y nunca sincronizan su fork con tus actualizaciones).
Eliminas todo el repositorio.
Incluso si eliminaste tu repositorio, todos los cambios realizados en él aún son accesibles a través de los forks.
Creas un repositorio privado que eventualmente será público.
Creas una versión privada e interna de ese repositorio (a través de forking) y haces commits de código adicional para características que no vas a hacer públicas.
Haces tu repositorio “upstream” público y mantienes tu fork privado.
Es posible acceder a todos los datos enviados al fork interno en el tiempo entre la creación del fork interno y la publicación de la versión pública.
La misma publicación de blog propone 2 opciones:
Si se conoce el valor del ID del commit (sha-1), es posible acceder a él en https://github.com/<user/org>/<repo>/commit/<commit_hash>
Es lo mismo acceder a ambos:
Y el último utiliza un sha-1 corto que es susceptible a fuerza bruta.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
