Доступні видалені дані в Github

Reading time: 3 minutes

Ці способи доступу до даних з Github, які нібито були видалені, були повідомлені в цьому блозі.

Доступ до видалених даних форків

1. Ви форкаєте публічний репозиторій
2. Ви комітите код у ваш форк
3. Ви видаляєте ваш форк

Доступ до видалених даних репозиторію

1. У вас є публічний репозиторій на GitHub.
2. Користувач форкає ваш репозиторій.
3. Ви комітите дані після того, як вони його форкнули (і вони ніколи не синхронізують свій форк з вашими оновленнями).
4. Ви видаляєте весь репозиторій.

Доступ до даних приватного репозиторію

1. Ви створюєте приватний репозиторій, який врешті-решт буде зроблений публічним.
2. Ви створюєте приватну, внутрішню версію цього репозиторію (через форк) і комітите додатковий код для функцій, які ви не збираєтеся робити публічними.
3. Ви робите свій “upstream” репозиторій публічним і зберігаєте свій форк приватним.

Як виявити коміти з видалених/прихованих форків

Той же блог пропонує 2 варіанти:

Прямий доступ до коміту

Якщо відомий ідентифікатор коміту (sha-1), його можна отримати за адресою https://github.com/<user/org>/<repo>/commit/<commit_hash>

Брутфорсинг коротких SHA-1 значень

Це однаково для доступу до обох з них:

• https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14
• https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463

І останній використовує короткий sha-1, який можна брутфорсити.

Посилання

• https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github