在Github中访问已删除的数据

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 subscription plans!
• 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。

访问据称已删除的Github数据的方法在这篇博客文章中报告。

访问已删除的Fork数据

1. 你Fork一个公共仓库
2. 你向你的Fork提交代码
3. 你删除你的Fork

Caution

在已删除的Fork中提交的数据仍然可以访问。

访问已删除的仓库数据

1. 你在GitHub上有一个公共仓库。
2. 一个用户Fork了你的仓库。
3. 你在他们Fork之后提交数据（而他们从未将他们的Fork与您的更新同步）。
4. 你删除整个仓库。

Caution

即使你删除了你的仓库，所有对其所做的更改仍然可以通过Fork访问。

访问私有仓库数据

1. 你创建一个最终会公开的私有仓库。
2. 你创建该仓库的私有内部版本（通过Fork）并提交额外的代码以实现你不打算公开的功能。
3. 你将你的“上游”仓库设为公共，并保持你的Fork为私有。

Caution

在内部Fork创建和公共版本公开之间的时间内，可以访问推送到内部Fork的所有数据。

如何发现已删除/隐藏Fork的提交

同一篇博客文章提出了2个选项：

直接访问提交

如果已知提交ID（sha-1）值，可以在https://github.com/<user/org>/<repo>/commit/<commit_hash>中访问它。

暴力破解短SHA-1值

访问这两者是相同的：

• https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14
• https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463

而最新的一个使用了一个可以暴力破解的短sha-1。

参考

• https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 subscription plans!
• 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。