• Network
  • Security
  • Software
  • Thủ thuật
  • Tin tức
  • Video hướng dẫn
AnonyViet
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
AnonyViet
No Result
View All Result

Sự nguy hiểm của thư mục .git

Ellyx13 by Ellyx13
in Basic Hacking, Kali Linux / Parrot
Reading Time: 5 mins read
A A
0

Mục lục bài viết

  1. Sự nguy hiểm của thư mục .git
  2. Không deloy hoặc chặn truy cập thư mục .git
  3. Demo cách khai thác thư mục .git

Bạn đã bao giờ thử duyệt đến đường dẫn http://yoursite.com/.git/ chưa? Nếu bạn gặp lỗi 403, thì đó là điều bình thường. Bởi vì tính năng duyệt thư mục đã chặn truy cập này, đây là tính năng bảo mật cơ bản. Tuy nhiên, nhiều file trong thư mục .git/ vẫn có thể truy cập được. Vậy nên nó cực kỳ nguy hiểm, trong bài này, mình sẽ demo cách khai thác thư mục .git cho các bạn xem nhé.

Tham gia kênh Telegram của AnonyViet 👉 Link 👈

Sự nguy hiểm của thư mục .git

Các bài viết liên quan

zero-click apple-CVE-2023-41064-CVE-2023-41061

Apple bị lỗ hổng Zero-Click – Người dùng cần Update Firmware mới nhất

09/09/2023
Resource hacker

Cách thay đổi màn hình Welcome trên Windows bằng Resource Hacker

04/07/2023
Các công cụ quét lỗ hổng bảo mật tốt nhất 19

Các công cụ quét lỗ hổng bảo mật tốt nhất

29/05/2023
Cách hack Doggo Go đang hot xếp hình với cậu vàng 20

Cách hack Doggo Go đang hot xếp hình với cậu vàng

14/05/2023

Sự nguy hiểm của thư mục .git

Bất kỳ ai cũng có thể sử dụng các công cụ quét tự động như githacker để tải mã nguồn của bạn và xem toàn bộ lịch sử git. Git cũng là một hệ thống file tuân theo một số quy tắc, nên bạn rất dễ đoán các thư mục và file.

Hầu hết các dự án sử dụng masterhoặc mainlàm nhánh chính, nên bạn có thể dễ dàng đoán được đường dẫn ẩn trong thư mục /.git/. Công cụ này thậm chí còn có thể brute force các nhánh và tag.

Nếu quá trình quét thành công, bạn sẽ nhận được thư mụcresulttrên máy của mình (bạn có thể tùy chỉnh tên thư mục bằng tùy chọn --output-dir).

Không deloy hoặc chặn truy cập thư mục .git

Thư mục .git/có thể chứa rất nhiều thông tin, bao gồm cả mã nguồn cũng như tên, email và trong trường hợp xấu nhất là thông tin xác thực được mã hóa (ví dụ: cơ sở dữ liệu, token, key).

Bạn nên chặn hoàn toàn quyền truy cập công khai vào thư mục đó. Các giải pháp triển khai và CI/CD hiện đại tương đối dễ cấu hình và có thể xóa các thư mục không liên quan gì đến môi trường production.

Một số nhà cung cấp dịch vụ lưu trữ web (hosting) cũng chặn quyền truy cập vào thư mục này vì lý do bảo mật, nhưng không phải lúc nào những nhà cung cấp này cũng làm vậy và đó không phải là cấu hình mặc định. Vậy nên bạn cần kiểm tra kỹ cấu hình hệ thống trước khi deloy bất cứ thứ gì.

Bạn có thể thực hiện các giải pháp dưới để hệ thống của mình được an toàn hơn:

  1. Tắt truy cập công khai thư mục .git/ theo mặc định
  2. Thêm rule cấm truy cập vào thư mục trong mã nguồn, ví dụ: tệp cấu hình Apache .htaccess
  3. Không triển khai các thư mục như vậy trong các thư mục chung

Nên trả về 404 cho thư mục.git/trong cấu hình máy chủ hoặc file .htaccess:

RedirectMatch 404 /\.git

Bạn nên thêm cả hai rule nếu có thể, như hai lớp bảo mật. Trong trường hợp có người sửa đổi.htaccessvà xóa rule, thì vẫn còn rule dự phòng trong thư mục .git/. Nhưng theo mình được biết thì việc sử dụng file .htaccess sẽ làm chậm máy chủ Apache http.

Demo cách khai thác thư mục .git

Mình tạo 2 máy ảo là Ubuntu (Server) và Kali (Attacker). Trong máy server, mình sử dụng nginx để làm webserver, Mình tạo file index.php và commit lần đầu lên git.

Sự nguy hiểm của thư mục .git 11

Sự nguy hiểm của thư mục .git 12

Sau đó tạo file conn.php chứa mật khẩu là dữ liệu nhảy cảm và add file này vào git rồi stash thay đổi này lại.

Sự nguy hiểm của thư mục .git 13

Khi truy cập đường dẫn .git thì chúng ta sẽ bị chặn do cơ chế bảo mật của nginx.

Sự nguy hiểm của thư mục .git 14

Đó là setup cơ bản trên máy server. Giờ chúng ta sẽ tiến hành khai thác thử lỗi này.

Trên kali, các bạn chạy lệnh sau để cài đặt GitHacker:

python3 -m pip install -i https://pypi.org/simple/ GitHacker

Như các bạn thấy ở ảnh dưới, gitHacker sẽ được cài đặt trong đường dẫn /home/user/.local/bin.

Sự nguy hiểm của thư mục .git 15

Các bạn truy cập đường dẫn này và chạy lệnh. Thay IP-SERVER bằng ip của máy server của bạn.

python3 githacker --url http://IP-SERVER/.git/ --output-folder result

Truy cập vào thư mục result, bạn sẽ thấy commit của server.

Sự nguy hiểm của thư mục .git 16

Kiểm tra log và stash.

Sự nguy hiểm của thư mục .git 17

Khôi phục lại stash đã lưu trước đó và chúng ta sẽ có file conn.php.

Sự nguy hiểm của thư mục .git 18

Vậy là mình đã khai thác thành công, đừng vì chút tiện lợi để pull repo trên production mà deloy luôn thư mục .git nhé.

Bài viết đạt: 3.9/5 - (7 bình chọn)
Tags: bảo mậtgithackkhai tháclỗ hổng
Ellyx13

Ellyx13

Có người không dám bước vì sợ gãy chân, nhưng sợ gãy chân mà không dám bước đi thì khác nào chân đã gãy.

Related Posts

Mr Holmes: Công cụ thu thập thông tin dành cho dân OSINT 21
Basic Hacking

Mr Holmes: Công cụ thu thập thông tin dành cho dân OSINT

08/12/2023
Cách dùng Hydra để tấn công Brute Force 22
Basic Hacking

Cách dùng Hydra để tấn công Brute Force

17/11/2023
PyPhisher: Công cụ phishing dễ sử dụng với 65 trang web có sẵn 23
Basic Hacking

PyPhisher: Công cụ phishing dễ sử dụng với 65 trang web có sẵn

15/11/2023
Cẩn thận! Tiếng gõ phím có thể tiết lộ mật khẩu cho hacker 24
Basic Hacking

Cẩn thận! Tiếng gõ phím có thể tiết lộ mật khẩu cho hacker

06/10/2023 - Updated on 13/10/2023
Khai thác XSS với Javascript/JPEG Polyglot 25
Basic Hacking

Khai thác XSS với Javascript/JPEG Polyglot

08/09/2023
AnvRS - Công cụ Reverse Shell Bypass Antivirus 26
Basic Hacking

AnvRS – Công cụ Reverse Shell Bypass Antivirus

29/08/2023 - Updated on 27/09/2023
Subscribe
Notify of
guest

guest

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

0 Comments
Inline Feedbacks
View all comments

Liên hệ Quảng Cáo

Lien he AnonyViet

Các bài mới

Cách dùng Meta AI của Facebook để vẽ ảnh miễn phí 21

Cách dùng Meta AI của Facebook để vẽ ảnh miễn phí

08/12/2023
Mr Holmes: Công cụ thu thập thông tin dành cho dân OSINT 22

Mr Holmes: Công cụ thu thập thông tin dành cho dân OSINT

08/12/2023
Thế giới có ChatGPT, Việt Nam có PhởGPT 23

Thế giới có ChatGPT, Việt Nam có PhởGPT

07/12/2023
AI Bard Gemini của Google có thông minh hơn ChatGPT? 24

AI Bard Gemini của Google có thông minh hơn ChatGPT?

07/12/2023
Cách hiển thị tên trên màn hình khóa iPhone cực đơn giản 25

Cách hiển thị tên trên màn hình khóa iPhone cực đơn giản

07/12/2023

Ads

Giới thiệu

AnonyViet

AnonyViet

Nơi chia sẻ những kiến thức mà bạn chưa từng được học trên ghế nhà trường!

Chúng tôi sẵn sàng đón những ý kiến đóng góp, cũng như bài viết của các bạn gửi đến AnonyViet.

Hãy cùng AnonyViet xây dựng một cộng đồng CNTT lớn mạnh nhất!

Giới thiệu

AnonyViet là Website chia sẻ miễn phí tất cả các kiến thức về công nghệ thông tin. AnonyViet cung cấp mọi giải pháp về mạng máy tính, phần mềm, đồ họa và MMO.

Liên hệ

Email: anonyviet.com[@]gmail.com

1409 Hill Street #01-01A
Old Hill Street Police Station
Singapore 179369

 

Bản quyền: DMCA.com Protection Status

Phản hồi gần đây

  • AnonyViet trong AI tạo background sản phẩm đẹp mắt và nhanh chóng
  • Thang trong AI tạo background sản phẩm đẹp mắt và nhanh chóng
  • Huyền trong Cách lấy lại dữ liệu khi USB bị lỗi Format đơn giản nhất
  • Tase trong Black Tool – Phần mềm tổng hợp Tool Hack kinh khủng nhất
  • varaa trong Hướng dẫn Active Burp Suite Pro 2022 + BugBounty Pro mới nhất

©2023 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ https://okvip.art/ ku11net.link F8BET W88 ST666 Trực tiếp bóng đá xoilac tv new88 Nhà cái New88 uy tín https://vn88.news/ suncity https://hi88g.com/ Fun88min sodo casino ee88at.com go88 nhà cái Jun88 uy tín Twin xem bong da truc tiep xem keo nha cai Xoilac tv 6686vni.com 333666.casino 123b com nhận định kèo nhà cái sv388bet.cam hitclub.bz sunwin Kubet1 Jss77 Jun88 tdtc.guru bossnhacai.com Cubet nhà cái j88 https://blognet88.com socolive https://kubet.icu socolive tv https://sodo.uno/ SOC88 ST666 MU88 thabet Tỷ lệ kèo: 7m go88 Kubet88 vaoroi clmm 2023 oxbet 79king.cloud xem bóng đá xoilac nohu.cyou tructiepbongda Ole777 https://iwin68.fit/ xoilac go88 xoilac xoilac tv xoilac xem bóng đá Trang chủ Bet88 keo nha cai 5 xem bóng đá ee88 qh88 đăng nhập rikvip hit club 88online hb88hb.com viva88 i9bet zbet 7m game iwin club 789bet Keo88 typhu88 rakhoi bắn cá SKY88 KUBET77 Keonhacai trực tiếp bóng đá xoilac Mitom I9BET luckywin.net link nhà cái F8bet F8bet0.tv Link vào kubet: https://51.79.243.160/ https://kubet.icu/ Sunwin https://sodocasino.pro/ Kimsa Fe88 https://iwin68vn.net tài xỉu online https://mu88.io/ iwin68 Bongdavn https://hit-club.bio/ https://sky888.win/ Vnew88 https://new88v.net/ b52club Jun88s.net

No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC

©2023 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ https://okvip.art/ ku11net.link F8BET W88 ST666 Trực tiếp bóng đá xoilac tv new88 Nhà cái New88 uy tín https://vn88.news/ suncity https://hi88g.com/ Fun88min sodo casino ee88at.com go88 nhà cái Jun88 uy tín Twin xem bong da truc tiep xem keo nha cai Xoilac tv 6686vni.com 333666.casino 123b com nhận định kèo nhà cái sv388bet.cam hitclub.bz sunwin Kubet1 Jss77 Jun88 tdtc.guru bossnhacai.com Cubet nhà cái j88 https://blognet88.com socolive https://kubet.icu socolive tv https://sodo.uno/ SOC88 ST666 MU88 thabet Tỷ lệ kèo: 7m go88 Kubet88 vaoroi clmm 2023 oxbet 79king.cloud xem bóng đá xoilac nohu.cyou tructiepbongda Ole777 https://iwin68.fit/ xoilac go88 xoilac xoilac tv xoilac xem bóng đá Trang chủ Bet88 keo nha cai 5 xem bóng đá ee88 qh88 đăng nhập rikvip hit club 88online hb88hb.com viva88 i9bet zbet 7m game iwin club 789bet Keo88 typhu88 rakhoi bắn cá SKY88 KUBET77 Keonhacai trực tiếp bóng đá xoilac Mitom I9BET luckywin.net link nhà cái F8bet F8bet0.tv Link vào kubet: https://51.79.243.160/ https://kubet.icu/ Sunwin https://sodocasino.pro/ Kimsa Fe88 https://iwin68vn.net tài xỉu online https://mu88.io/ iwin68 Bongdavn https://hit-club.bio/ https://sky888.win/ Vnew88 https://new88v.net/ b52club Jun88s.net

wpDiscuz