Exploit

Exploiter un ".git" accessible sur un site Web

Retour d'expérience sur l'exploitation d'un répertoire ".git" accessible à la racine d'un site Web : code source, mots de passe SQL, etc.

3 minutes de lecture

Récemment, je suis intervenu sur un serveur web qui s’était fait compromettre. J’ai donc cherché à savoir quelle avait été la porte d’entrée sur le serveur. C’était assez folklorique : chmod 777 sur le webroot, une flopée de SQLi, des webshell à la pelle, des configs Apache et MySQL très laxistes et surtout un répertoire .git avec du directory listing …