Ícone do Lab

Git Secrets Hunter

🔍 Você consegue descobrir os segredos ocultos no histórico Git deste desenvolvedor?

Desafio Atualizado em 21 jun. 2026 Solução (Pro)
Git Forensics Version Control Security Repository Analysis Penetration Testing Secret Recovery OSINT

Um desenvolvedor descuidado deixou todo o seu repositório Git exposto no servidor web. 💻 Embora o código atual pareça limpo, o histórico de commits conta uma história diferente, cheia de segredos acidentalmente commitados, chaves de API e dados de configuração sensíveis. Você consegue escavar a arqueologia do controle de versão para descobrir o que eles tentaram esconder? 🕵️‍♂️ Este desafio vai ensinar técnicas essenciais de investigação forense Git usadas por profissionais de segurança em todo o mundo. 🎯

1
Flags
50
XP
67%
Taxa de Sucesso

A investigação forense de repositórios Git é uma habilidade crítica em testes de penetração e avaliações de segurança. Quando desenvolvedores commitam informações sensíveis no controle de versão - mesmo que as deletem depois - esses dados persistem indefinidamente no histórico Git. Atacantes que obtêm acesso a um repositório podem minerar seu histórico de commits para recuperar senhas, chaves de API, certificados privados e outros segredos que desenvolvedores acreditavam ter removido com segurança.

Por que segredos acabam no histórico Git

Fluxos de trabalho de desenvolvimento frequentemente levam à exposição acidental de segredos. Um desenvolvedor pode commitar um arquivo de configuração contendo credenciais de banco de dados, perceber o erro e deletar o arquivo em um commit subsequente. Embora o arquivo não apareça mais na árvore de trabalho atual, ele permanece totalmente recuperável da base de dados de objetos do repositório. Outros cenários comuns incluem tokens de API codificados nos primeiros commits de desenvolvimento, arquivos .env que não foram adequadamente adicionados ao gitignore desde o início, e chaves privadas acidentalmente incluídas em commits antes de serem rotacionadas.

Técnicas de investigação forense Git

Profissionais de segurança usam várias técnicas para caçar segredos em repositórios Git. Examinar logs de commits revela a linha do tempo das alterações e quais arquivos foram modificados. O diff entre commits mostra exatamente o que foi adicionado ou removido. O modelo de objetos do Git permite inspeção direta de blobs, árvores e commits. Ferramentas especializadas como git-secrets, truffleHog e GitLeaks automatizam o processo de varredura do histórico do repositório em busca de padrões que correspondam a credenciais, tokens e chaves privadas.

Consequências reais

A exposição de segredos através do histórico Git levou a violações de segurança significativas. Chaves de acesso de provedores cloud encontradas em repositórios públicos do GitHub foram exploradas em minutos para criar infraestrutura de mineração de criptomoedas. Credenciais de banco de dados descobertas no histórico de commits permitiram acesso não autorizado a dados. Tokens de API internos permitiram que atacantes pivotassem de um único repositório exposto para comprometimento organizacional mais amplo. Esses incidentes destacam por que a caça de segredos Git é uma fase padrão em testes de penetração modernos.

Prevenção e remediação

Organizações devem implementar hooks pre-commit que escaneiam segredos antes que entrem no repositório, usar variáveis de ambiente em vez de credenciais codificadas, manter arquivos .gitignore abrangentes, e rotacionar quaisquer credenciais que já tenham sido commitadas - independentemente de terem sido deletadas posteriormente. Entender a investigação forense Git da perspectiva do atacante é essencial para construir defesas eficazes contra exposição de segredos.

O que você vai aprender

  • Como o Git armazena arquivos deletados e dados históricos em sua base de dados de objetos
  • Uso dos comandos Git log, diff e show para investigação forense
  • Identificação de padrões que indicam segredos acidentalmente commitados
  • Uso de ferramentas automatizadas para escanear histórico Git em busca de credenciais e tokens
  • Melhores práticas para prevenir exposição de segredos no controle de versão

Pré-requisitos

Git version control basics Command line proficiency Understanding of authentication credentials

Pronto para hackear este lab?

Crie uma conta gratuita e pratique cibersegurança.

Começar - É grátis
Comece Seu Desafio
~1-2 min de configuração
Servidor dedicado
Instância privada
Potência padrão
Novo aqui? Veja o que fazer
1
Clique em "Start Lab" acima Você receberá sua própria máquina com um endereço IP
2
Explore o alvo Abra o IP no seu navegador e procure vulnerabilidades
3
Encontre e envie as flags Flags são textos secretos escondidos no sistema - cole-os abaixo para pontuar

Pronto para hackear este lab?

Crie uma conta gratuita para iniciar seu próprio servidor dedicado, enviar flags e ganhar XP no ranking.

Começar a Hackear Grátis

Labs relacionados

Labs que compartilham habilidades semelhantes

Pwnify - Teste de Invasão de Aplicação Web
Pwnify - Teste de Invasão de Aplicação Web
Hard 700 XP 35
Web Application Security Mass Assignment Command Injection Hash Cracking
13.000+ Hackers 100+ Labs & Cursos Grátis
Comece Grátis