Zugängliche Gelöschte Daten in Github

Reading time: 3 minutes

Diese Möglichkeiten, auf Daten von Github zuzugreifen, die angeblich gelöscht wurden, wurden in diesem Blogbeitrag berichtet.

Zugriff auf Gelöschte Fork-Daten

1. Sie forken ein öffentliches Repository.
2. Sie committen Code in Ihren Fork.
3. Sie löschen Ihren Fork.

Zugriff auf Gelöschte Repo-Daten

1. Sie haben ein öffentliches Repo auf GitHub.
2. Ein Benutzer forkt Ihr Repo.
3. Sie committen Daten, nachdem sie es geforkt haben (und sie synchronisieren ihren Fork nie mit Ihren Updates).
4. Sie löschen das gesamte Repo.

Zugriff auf Private Repo-Daten

1. Sie erstellen ein privates Repo, das schließlich öffentlich gemacht wird.
2. Sie erstellen eine private, interne Version dieses Repos (durch Forking) und committen zusätzlichen Code für Funktionen, die Sie nicht öffentlich machen möchten.
3. Sie machen Ihr „Upstream“-Repository öffentlich und halten Ihren Fork privat.

So entdecken Sie Commits von gelöschten/verborgenen Forks

Der gleiche Blogbeitrag schlägt 2 Optionen vor:

Direkt auf den Commit zugreifen

Wenn der Commit-ID (sha-1) Wert bekannt ist, ist es möglich, ihn unter https://github.com/<user/org>/<repo>/commit/<commit_hash> zuzugreifen.

Brute-Forcing kurzer SHA-1-Werte

Es ist dasselbe, um auf beide zuzugreifen:

• https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14
• https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463

Und der letzte verwendet einen kurzen sha-1, der bruteforcebar ist.

Referenzen

• https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github