Hack website bằng git
Hôm nay mình sẽ nói về cách hack website bằng git. Đã động vào code, chắc chắn ai cũng biết dùng git. Nếu dùng không đúng cách, git sẽ rất nguy hiểm với website của bạn. Tất cả source code của bạn có thể bị lộ. Thậm chí các bug, fix, setting cũng sẽ bị lộ.
Đối tượng của chúng ta hôm nay là trang này. Trang đăng nhập vào HR Database.
http://challenge01.root-me .org/web-serveur/ch61/
Màn hình trông ntn:
Bước đầu tiên để hack 1 website là google hacking. Search google để thu thập thông tin về website, về dữ liệu có trong website đó. Biết đâu thằng code trang này lại tạo reposity ở dạng public để lưu code :v Thế thì lại thơm quá :3 Sau 30 phút google, mình ko tìm đc gì. Chứng tỏ là code không bị public linh tinh.
Tiếp theo, mình tìm thấy thư mục .git ở thư mục gốc. Nhắc lại lần nữa nhé: thư mục .git. Thư mục này đc git tạo ra để lưu lại mọi thông tin về code. Dĩ nhiên, từ thư mục này, bạn có thể lần ra được toàn bộ source code. Thư mục .git trông như thế này:
Bây giờ, chúng ta sẽ tải nó xuống xem bên trong có gì. Biết đâu bất ngờ, trong đó lại có mật khẩu DB, tài khoản admin :p :p
Kiểm tra qua log của git thì ta thấy một thông tin rất quan trọng. Có 1 commit viết rõ ràng về việc đổi pass :D
Xem commit này, bạn thấy luôn pass là gì rồi. Thật là đơn giản :)
Viết 1 đống lệnh git thế cho nó nguy hiểm chứ mình dùng UI cho nhanh :v