Accessible Deleted Data in Github
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Essas maneiras de acessar dados do Github que supostamente foram deletados foram reportadas neste post do blog.
Você faz um fork de um repositório público.
Você comita código no seu fork.
Você deleta seu fork.
Os dados comitados no fork deletado ainda estão acessíveis.
Você tem um repositório público no GitHub.
Um usuário faz fork do seu repositório.
Você comita dados após eles fazerem o fork (e eles nunca sincronizam seu fork com suas atualizações).
Você deleta o repositório inteiro.
Mesmo que você tenha deletado seu repositório, todas as alterações feitas nele ainda estão acessíveis através dos forks.
Você cria um repositório privado que eventualmente será tornado público.
Você cria uma versão privada e interna desse repositório (via fork) e comita código adicional para recursos que você não vai tornar públicos.
Você torna seu repositório “upstream” público e mantém seu fork privado.
É possível acessar todos os dados enviados para o fork interno no período entre a criação do fork interno e a versão pública sendo tornada pública.
O mesmo post do blog propõe 2 opções:
Se o valor do ID do commit (sha-1) for conhecido, é possível acessá-lo em https://github.com/<user/org>/<repo>/commit/<commit_hash>
É o mesmo para acessar ambos:
E o último usa um sha-1 curto que é passível de brute force.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)