Accessible Deleted Data in Github
Last updated
Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ці способи доступу до даних з Github, які нібито були видалені, були повідомлені в цьому блозі.
Ви форкаєте публічний репозиторій
Ви комітите код у ваш форк
Ви видаляєте ваш форк
Дані, комітовані у видаленому форку, все ще доступні.
У вас є публічний репозиторій на GitHub.
Користувач форкає ваш репозиторій.
Ви комітите дані після того, як вони його форкнули (і вони ніколи не синхронізують свій форк з вашими оновленнями).
Ви видаляєте весь репозиторій.
Навіть якщо ви видалили свій репозиторій, всі зміни, внесені до нього, все ще доступні через форки.
Ви створюєте приватний репозиторій, який врешті-решт стане публічним.
Ви створюєте приватну, внутрішню версію цього репозиторію (через форк) і комітите додатковий код для функцій, які ви не збираєтеся робити публічними.
Ви робите свій “upstream” репозиторій публічним і зберігаєте свій форк приватним.
Можливо отримати доступ до всіх даних, надісланих до внутрішнього форка, в період між створенням внутрішнього форка та публікацією публічної версії.
Той же блог пропонує 2 варіанти:
Якщо відомий ID коміту (sha-1), його можна отримати за адресою https://github.com/<user/org>/<repo>/commit/<commit_hash>
Це однаково для доступу до обох з них:
І останній використовує короткий sha-1, який можна брутфорсити.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)