Last updated
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Les moyens d'accéder aux données de Github qui ont été supposément supprimées ont été rapportés dans cet article de blog.
Vous fork un dépôt public
Vous commitez du code dans votre fork
Vous supprimez votre fork
Les données commises dans le fork supprimé sont toujours accessibles.
Vous avez un dépôt public sur GitHub.
Un utilisateur fork votre dépôt.
Vous commitez des données après qu'il l'ait forké (et il ne synchronise jamais son fork avec vos mises à jour).
Vous supprimez l'ensemble du dépôt.
Même si vous avez supprimé votre dépôt, tous les changements qui y ont été apportés sont toujours accessibles via les forks.
Vous créez un dépôt privé qui sera éventuellement rendu public.
Vous créez une version interne privée de ce dépôt (via le fork) et commitez du code supplémentaire pour des fonctionnalités que vous ne rendrez pas publiques.
Vous rendez votre dépôt "upstream" public et gardez votre fork privé.
Il est possible d'accéder à toutes les données poussées vers le fork interne entre le moment où le fork interne a été créé et le moment où la version publique a été rendue publique.
Le même article de blog propose 2 options :
Si la valeur de l'ID de commit (sha-1) est connue, il est possible d'y accéder à https://github.com/<user/org>/<repo>/commit/<commit_hash>
C'est la même chose pour accéder à ces deux :
Et le dernier utilise un sha-1 court qui est bruteforcable.
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
