之前扫出来一些.git泄露漏洞,在用git泄露工具下载恢复的时候,要不漏报,要不慢的要死,还有的扫一半工具直接挂了的。。。然后就开始研究起这些工具的原理来了。这里简单说一下比较流行的工具GitHack
和Git_Extract
- GitHack:支持python2和python3,支持多线程,但只通过
.git/index
来提取文件hash,可能存在漏报。 - Git_Extract:比GitHack有更多的发现方式,但只支持python2,还只能是单线程,遇到文件比较多或者网不好的网站,扫半天都结束不了。
根据GitHack和Git_Extract拼凑改良的一个小工具,index解析取自GitHack,pack解析取自Git_Extract并修改为python3格式,整体框架重新编写。
- 支持python3
- 支持多线程
- 支持多种提取方式,能够恢复其他分支和历史版本
- 增加进度提示