Accessible Deleted Data in Github

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

Ці способи доступу до даних з Github, які нібито були видалені, були повідомлені в цьому блозі.

Доступ до видалених даних форків

Дані, комітовані у видаленому форку, все ще доступні.

У вас є публічний репозиторій на GitHub.
Користувач форкає ваш репозиторій.
Ви комітите дані після того, як вони його форкнули (і вони ніколи не синхронізують свій форк з вашими оновленнями).
Ви видаляєте весь репозиторій.

Навіть якщо ви видалили свій репозиторій, всі зміни, внесені до нього, все ще доступні через форки.

Ви створюєте приватний репозиторій, який врешті-решт стане публічним.
Ви створюєте приватну, внутрішню версію цього репозиторію (через форк) і комітите додатковий код для функцій, які ви не збираєтеся робити публічними.
Ви робите свій “upstream” репозиторій публічним і зберігаєте свій форк приватним.

Можливо отримати доступ до всіх даних, надісланих до внутрішнього форка, в період між створенням внутрішнього форка та публікацією публічної версії.

Той же блог пропонує 2 варіанти:

Якщо відомий ID коміту (sha-1), його можна отримати за адресою https://github.com/<user/org>/<repo>/commit/<commit_hash>

Це однаково для доступу до обох з них:

І останній використовує короткий sha-1, який можна брутфорсити.

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

Last updated 8 days ago