一、前言

在我写这个之前，我还以为这个东西有多难呢，结果是个纸老虎，还有这种事情也只有在 CTF 比赛的时候会出现，现在也不太可能会出现。
如果有人对 git 不太熟悉，建议还是学一下，它的好处还是挺大的，视频

二、漏洞危害

官方给出的解释是：Git是一个开源的分布式版本控制系统 ,我们简单的理解为Git 是一个内容寻址文件系统，也就是说Git 的核心部分是键值对数据库。当我们向 Git 仓库中插入任意类型的内容(开发者们在其中做的版本信息修改之类的操作)，它会返回一个唯一的键，通过该键可以在任意时刻再次取回该内容
Git是一个可以实现有效控制应用版本的系统，但是在一旦在代码发布的时候，存在不规范的操作及配置，就很可能将源代码泄露出去。那么，一旦攻击者或者黑客发现这个问题之后，就可能利用其获取网站的源码、数据库等重要资源信息，进而造成严重的危害。
正如上面所述，在配置不当的情况下，可能会将“.git”文件直接部署到线上环境，这就造成了git泄露问题。
攻击者利用该漏洞下载.git文件夹中的所有内容。如果文件夹中存在敏感信息(数据库账号密码、源码等)，通过白盒的审计等方式就可能直接获得控制服务器的权限和机会！

简而言之就是，在服务器上面有 .git 文件夹

三、漏洞使用

首先，我们需要对应的授权站点是否存在这个漏洞：
????①可以先观察一下站点是否有醒目地指出Git，如果有的话，那就说明站点很大可能是存在这个问题的
????②如果站点没有醒目的提示的话，可以利用 dirsearch 命令工具使用这类扫描工具，如果存在./git泄露的问题的话，会被扫描出来的，哈哈
????③最直观的方式，就是直接通过网页访问.git目录，如果能访问就说明存在
当确认存在这个漏洞之后，就可以通过工具来下载git泄露的全部源码(工具例如：GitHack等等)