HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Ссылка на репозиторий bitbucket
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 15.11.2017, 13:36
Adibok
Guest
Сообщений: n/a
Провел на форуме:
2772

Репутация: 0
По умолчанию
Всем привет. Сканировал хост c помощью

nmap -sV -sC

и на 443 порту мне высветил

| http-git:

| :443/.git/

. . .

Remotes:

| https://:@bitbucket.org//.git

При переходе по ссылке на битбакет отображается ошибка 404

That link has no power here

Return to the dashboard.

Вопрос 1: как можно раскрутить данную информацию, является ли уязвимостью?

Вопрос 2: как nmap находит репозитории?
 
Ответить с цитированием

  #2  
Старый 15.11.2017, 15:49
SooLFaa
Guest
Сообщений: n/a
Провел на форуме:
187765

Репутация: 154
По умолчанию
1) Где ты написал "Еще что то" - это пароль с ним логинься прям на битбакете и смотри репы.

2) Он чекает наличие файла .git/HEAD или .git/REFS
 
Ответить с цитированием

  #3  
Старый 15.11.2017, 18:49
Adibok
Guest
Сообщений: n/a
Провел на форуме:
2772

Репутация: 0
По умолчанию
Цитата:
Сообщение от SooLFaa  
SooLFaa said:

1) Где ты написал "Еще что то" - это пароль с ним логинься прям на битбакете и смотри репы.
2) Он чекает наличие файла .git/HEAD или .git/REFS
Спасибо, действительно данные подошли к учетке. Только вот активность данного аккаунта никак не связана с хостом (исходя из анализа активности аккаунта внутри личного кабинета). Или я смотрю не туда?
 
Ответить с цитированием

  #4  
Старый 15.11.2017, 19:37
SooLFaa
Guest
Сообщений: n/a
Провел на форуме:
187765

Репутация: 154
По умолчанию
Цитата:
Сообщение от Adibok  
Adibok said:

Спасибо, действительно данные подошли к учетке. Только вот активность данного аккаунта никак не связана с хостом (исходя из анализа активности аккаунта внутри личного кабинета). Или я смотрю не туда?
В проекты смотри. Коммиты какие и все в этом духе.
 
Ответить с цитированием

  #5  
Старый 16.11.2017, 04:51
lifescore
Guest
Сообщений: n/a
Провел на форуме:
213865

Репутация: 72
По умолчанию
Цитата:
Сообщение от SooLFaa  
SooLFaa said:

В проекты смотри. Коммиты какие и все в этом духе.
Бесполезно...

Learn_full

hС учетом кол-ва самих дев'ов, которые дай бог прочтли хоть раз от и до, круто сбавляеться к тому кол-ву, которые кроме прочтнеия, хоть как-то вникли в принцип, замысел, и тонкости. имхо!

Цитата:
Сообщение от SooLFaa  
SooLFaa said:

1) Где ты написал "Еще что то" - это пароль с ним логинься прям на битбакете и смотри репы.
2) Он чекает наличие файла .git/HEAD или .git/REFS
Насчет второго (2), нмап дефолтный ищет creds данные в /конфиг. По сути воздух.

p.s. бобсь по хорошему даже и не покажешь в двух словах куда "смотреть" нужно) ну мы то с вами знаем, что полностью проведенная cve, это только маленький шаг открывающий кучу векторов
 
Ответить с цитированием

  #6  
Старый 20.11.2017, 17:54
Adibok
Guest
Сообщений: n/a
Провел на форуме:
2772

Репутация: 0
По умолчанию
Спасибо всем в этом треде за подсказки. Но перепробовав все возможные способы доступ к коду проекта я не получил.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ