Dados Excluídos Acessíveis no Github

Reading time: 3 minutes

Essas maneiras de acessar dados do Github que supostamente foram excluídos foram reportadas neste post do blog.

Acessando Dados de Forks Excluídos

1. Você faz um fork de um repositório público.
2. Você comita código no seu fork.
3. Você exclui seu fork.

Acessando Dados de Repositórios Excluídos

1. Você tem um repositório público no GitHub.
2. Um usuário faz um fork do seu repositório.
3. Você comita dados após eles fazerem o fork (e eles nunca sincronizam seu fork com suas atualizações).
4. Você exclui o repositório inteiro.

Acessando Dados de Repositórios Privados

1. Você cria um repositório privado que eventualmente será tornado público.
2. Você cria uma versão interna privada desse repositório (via fork) e comita código adicional para recursos que você não vai tornar públicos.
3. Você torna seu repositório “upstream” público e mantém seu fork privado.

Como descobrir commits de forks excluídos/ocultos

O mesmo post do blog propõe 2 opções:

Acessando diretamente o commit

Se o valor do ID do commit (sha-1) for conhecido, é possível acessá-lo em https://github.com/<user/org>/<repo>/commit/<commit_hash>

Forçando valores SHA-1 curtos

É o mesmo para acessar ambos:

• https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14
• https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463

E o último usa um sha-1 curto que é forçável.

Referências

• https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github