Skip to content

Latest commit

 

History

History
54 lines (49 loc) · 1.31 KB

git_service_pentest.md

File metadata and controls

54 lines (49 loc) · 1.31 KB

探测服务存在

BitBucket: https://bitbucket.example.com/repos/visibility#public
GitLab: https://gitlab.example.com/explore

一些查找秘钥的正则

://[a-zA-Z0-9_-]\+:[^/@]\+@     // URL里的密码
curl .*-u 
wget .*--password
wget .*--http-password
wget .*--ftp-password
wget .*--proxy-password
Authorization.*:.*Basic
Authorization.*:.*Bearer
docker login .*-p 
<password>[^<]\+</password>
mysql .*-p
mysql .*--password
PGPASSWORD                      // 命令行设置postgresql密码的环境变量
RSYNC_PASSWORD                  // 命令行设置rsync密码的环境变量
BEGIN PRIVATE
[^a-zA-Z0-9]7z[ zr].*-p[^ ]     // 7z解压密码
unzip .*-P                      // zip解压密码
mount .*-o.*password=           // CIFS share mounted with a username/password
jfrog .*--password=
jfrog .*--apiKey=
mongo .*-p 
cqlsh .*-p 
ldapsearch .*-w 
ldapsearch .*-y

包含密码的一些文件

*id_rsa
*.key
*.ppk
*.secure
.pgpass
.davfs2/secrets

本地搜索git历史中的敏感信息的工具

高危漏洞

参考