Accessible Deleted Data in Github
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Githubから削除されたとされるデータにアクセスする方法は、このブログ記事で報告されています。
公開リポジトリをフォークします。
フォークにコードをコミットします。
フォークを削除します。
削除されたフォークにコミットされたデータはまだアクセス可能です。
GitHubに公開リポジトリがあります。
ユーザーがあなたのリポジトリをフォークします。
彼らがフォークした後にデータをコミットします(彼らは決してフォークをあなたの更新と同期しません)。
リポジトリ全体を削除します。
リポジトリを削除しても、行われたすべての変更はフォークを通じてまだアクセス可能です。
最終的に公開されるプライベートリポジトリを作成します。
そのリポジトリのプライベートな内部バージョンを作成し(フォークを介して)、公開しない機能のための追加コードをコミットします。
“アップストリーム”リポジトリを公開し、フォークをプライベートに保ちます。
内部フォークが作成された時点から公開バージョンが公開されるまでの間にプッシュされたすべてのデータにアクセスすることが可能です。
同じブログ記事は2つのオプションを提案しています:
コミットID(sha-1)値が知られている場合、https://github.com/<user/org>/<repo>/commit/<commit_hash>
でアクセス可能です。
これらの両方にアクセスするのは同じです:
そして、最新のものはブルートフォース可能な短いsha-1を使用しています。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)