Toeganklike Verwyderde Data in Github

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

Hierdie maniere om data van Github te verkry wat veronderstel was om verwyder te wees, is in hierdie blogpos gerapporteer.

Toegang tot Verwyderde Fork Data

1. Jy fork ’n openbare repository
2. Jy commit kode na jou fork
3. Jy verwyder jou fork

Caution

Die data wat in die verwyderde fork gecommit is, is steeds toeganklik.

Toegang tot Verwyderde Repo Data

1. Jy het ’n openbare repo op GitHub.
2. ’n Gebruiker fork jou repo.
3. Jy commit data nadat hulle dit gefork het (en hulle sink nooit hul fork met jou opdaterings nie).
4. Jy verwyder die hele repo.

Caution

Selfs al het jy jou repo verwyder, is al die veranderinge wat aan dit gemaak is steeds toeganklik deur die forks.

Toegang tot Privaat Repo Data

1. Jy skep ’n privaat repo wat uiteindelik openbaar gemaak sal word.
2. Jy skep ’n privaat, interne weergawe van daardie repo (deur te fork) en commit addisionele kode vir funksies wat jy nie openbaar gaan maak nie.
3. Jy maak jou “upstream” repository openbaar en hou jou fork privaat.

Caution

Dit is moontlik om al die data wat na die interne fork gepush is, te verkry in die tyd tussen die interne fork geskep is en die openbare weergawe openbaar gemaak is.

Hoe om commits van verwyderde/verborgene forks te ontdek

Die dieselfde blogpos stel 2 opsies voor:

Direk toegang tot die commit

As die commit ID (sha-1) waarde bekend is, is dit moontlik om dit te verkry in https://github.com/<user/org>/<repo>/commit/<commit_hash>

Brute-forcing kort SHA-1 waardes

Dit is dieselfde om toegang tot albei van hierdie te verkry:

• https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14
• https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463

En die laaste een gebruik ’n kort sha-1 wat bruteforceable is.

Verwysings

• https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.