2.5 KiB
Dostępne usunięte dane w Github
{{#include ../../banners/hacktricks-training.md}}
Sposoby na dostęp do danych z Github, które rzekomo zostały usunięte, zostały zgłoszone w tym wpisie na blogu.
Dostęp do usuniętych danych forków
- Forkujesz publiczne repozytorium
- Wprowadzasz zmiany w swoim forku
- Usuwasz swój fork
Caution
Dane wprowadzone w usuniętym forku są nadal dostępne.
Dostęp do usuniętych danych repozytoriów
- Masz publiczne repozytorium na GitHubie.
- Użytkownik forkował twoje repozytorium.
- Wprowadzasz dane po tym, jak oni je forkowali (i nigdy nie synchronizują swojego forka z twoimi aktualizacjami).
- Usuwasz całe repozytorium.
Caution
Nawet jeśli usunąłeś swoje repozytorium, wszystkie zmiany wprowadzone do niego są nadal dostępne przez forki.
Dostęp do danych prywatnych repozytoriów
- Tworzysz prywatne repozytorium, które ostatecznie zostanie udostępnione publicznie.
- Tworzysz prywatną, wewnętrzną wersję tego repozytorium (poprzez forkowanie) i wprowadzasz dodatkowy kod dla funkcji, które nie będą publiczne.
- Udostępniasz swoje repozytorium "upstream" publicznie i zachowujesz swój fork prywatnie.
Caution
Możliwe jest uzyskanie dostępu do wszystkich danych przesłanych do wewnętrznego forka w czasie między utworzeniem wewnętrznego forka a udostępnieniem publicznej wersji.
Jak odkryć commity z usuniętych/ukrytych forków
Ten sam wpis na blogu proponuje 2 opcje:
Bezpośredni dostęp do commita
Jeśli znana jest wartość ID commita (sha-1), możliwe jest uzyskanie do niego dostępu pod adresem https://github.com/<user/org>/<repo>/commit/<commit_hash>
Bruteforce'owanie krótkich wartości SHA-1
Dostęp do obu z nich jest taki sam:
- https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14
- https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463
A ten ostatni używa krótkiego sha-1, który można złamać.
Odnośniki
{{#include ../../banners/hacktricks-training.md}}