在渗透过程中,文件泄露有时候会起重要作用,其中git泄露便是常见的泄露类型之一。git泄露是有多种途径,所以需要从根本上了解其泄露原理,这样才能提高渗透的成功几率。从目前的测试工具来看,BugScanTeam团队的GitHack是最为全面的。

基础

git初始化时(git init)是一个没有任何东西的GIT目录

首先只git add添加一个文件,注意这里并没有git commit添加注释

-w523

在这里要区分三个概念词:版本库、工作区、暂存区(stage),更详细的内容可以看这篇文章

提交一个文件的时候是分为git addgit commit两步的
git add的时候,是把文件临时放在临时区stage中
git commit的时候,是把临时区stage的所有内容提交到当前分支
当然这两个在objects目录都会生成一个对象文件,来存储数据。

可以看下当前目录结构为如下:

├── HEAD   
├── config # 存放git的一些信息
├── description
├── hooks
├── index
├── info
│   └── exclude
├── objects # 存放对象文件
│   ├── 0c
│   │   └── 14454dd8d472ef27843ac8c86bdba161c27a03
│   ├── info
│   └── pack
└── refs
    ├── heads
    └── tags

其中index的内容其中就包含了一些当前版本下的文件信息以及对应的objects目录下的对象文件

对于git中的对象,推荐阅读此文
它包含了Blob对象(用来存储文件内容)、Tree对象(表示内容之间的目录层次关系)、Commit对象(相关的描述信息)

接下来进行git commit,多出了0c31两个目录

对象用zlib解压即可看到内容

f = open("14454dd8d472ef27843ac8c86bdba161c27a03","r").read()
import zlib
print zlib.decompress(f)

可以看到下面是新生成了一个tree对象、commit对象

看下commit对象内容,可以找到tree对象的一些信息

再通过git ls-tree 31d459查看到tree对象里面存放的内容,即一些目录结构,以及对应的Blob对象的object id,也就是通过tree可以找到对应文件的object id。

所以获取源码的整个过程就是 commit -> tree -> blob


接下来再多添加一个文件,进行git addgit commit操作

├── objects
│   ├── 0c
│   │   └── 14454dd8d472ef27843ac8c86bdba161c27a03
│   ├── 2b
│   │   └── ccc291c71cc92898645cdc8990056027108580
│   ├── 31
│   │   └── d459eb83ed7f3d9195b2bd24d4e2cbdc7e299c
│   ├── 85
│   │   └── 66ddc152da79a3e2fd4a00123aeea397e574c4
│   ├── 8e
│   │   └── 63e6627218b1e455a5ae4bc45135316cf39055
│   ├── 98
│   │   └── 0411cbd21c224e546111360d20775d62c33349
│   ├── info
│   └── pack

这下新增了2b8598三个目录,分别代表着blob、tree、commit

看下commit的内容

可以看到上面的tree是指向了85/66ddc1,然后parent是指向了8e6366的commit,也就是上一次的commit内容

代码恢复

下面就讲下Git使用过程中的几种情况,以及对应如何去恢复代码

1、当年git泄露漏洞特别火,lijiejie师傅写了一个利用工具,流传大江南北。

因为index是存储工程中最新状态的文件,所以它就是获取了其中的blob的objects的hash,然后去得到文件,最后解压得到源码。

2、rip系列工具,当初phith0n师傅出的XDCTF2015代码审计全解时候学习到根本原理

对于获取其他的分支、tag,都可以从/.git/refs/heads/.git/refs/tag里面拿到最新的commit对象id,然后就是顺着这个可以爬到parent commit

假设获取master,最新的commit的object id可以在/.git/refs/heads/master获取到

3、具有场景型,协同合作时,远程代码有更新,即本地代码不是最新版本。为了避免出现版本冲突可以使用git stash将这部分暂存起来,然后便可以执行git pull,暂存的内容便会存放到/.git/refs/stash,此处并未使用git commit

╭─l3m0n@l3m0ndeMacBook-Pro  ~/work/tools/src_tools/test/demo/.git/refs  ‹dev›
╰─$ cat stash
e0945bc49106ac493f0d8c3b32370374b2d36a28

所以通过上面的commit依旧能够通过 commit -> tree -> blob 这种模式得到源码

4、使用了git reset --hard HEAD回滚时候
这个时候可以获取一下/.git/logs/HEAD文件,它会记录所有历史

比如上面便是reset之前的commit id

5、git gc,会打包object生成pack文件。但是有种情况便是git push失败的时候,一般push时候会打包一下,但是失败的时候并不会解压出来

这个场景的话,便可以获取/.git/objects/info/packs得到pack文件名

使用git verfy-pack -v xxx.idx可以看到一些内容信息

使用git unpack-objects < xxx.pack便可恢复