Práctica: Buscando secretos en repositorios GIT

La herramienta Trufflehog se encuentra en
github.com/dxa4481/trufflehog
Trufflehog se basa en la entropía del documento. En un documento hay diferentes combinaciones de letras, pero trufflehog encuentra los patrones que NO SON COMUNES, que tienen mayor nivel de aleatoriedad o inusuales, en este caso en un repositorio tipo github.

En Kali es necesario abrir una consola y escribir los siguiente:

pip install trufflehog

Una vez descargada la herramienta empezamos a trabajar.

Si queremos encontrar un password para un archivo zip determninado, descargamos el archivo y desde consola nos ubicamos en carpeta y tratamos de descomprimir:

`# cd Downloads

¬/Downloads# unzip <nombre del archivo>`

Va a pedir contraseña.

Para obtenerla vamos a analizar la dirección objetivo.
Limpiamos con comando

clear

y ponemos:

trufflehog <repositorio>

Ej. utilizado

trufflehog https://git.kringlecastle.com/Upatree/santas_castle_automation

Entre los resultados menciona en color verde las entropias, es decir casos posibles singulares poco usuales. Allí se ve un texto que dice que cambiaron de contraseña y la mencionan.

El profesor sabe bastante del tema el problema esta en que va muy deprisa por lo menos para mi por ejemplo no explica porque ingresamos a la carpeta schematics de una vez, lo hace muy robotico no explica el porque de esos comandos que significan que posibilidades hay de que dicho comando no sirva y porque un ejemplo claro es el de que en algunos no sirve el pip sino el pip3 o por ejemplo en el momento de colocar trufflehog y el enlace a mi no me salto la pantalla que a el (pero porque)en los comentarios me pueden dar la solucion de como hacerlo pero por lo menos a mi me gustaria saber el porque no andar ahi como dicen aqui en colombia comer entero y decir si, aja, claro.

para los que les da el problema de

bash:trufflehog no found 

pueden probar usar

sudo pip3 install truffleHog```

me parece que deberian actualizar los repositorios y los retos ya muchas cosas estan algo obsoletas estoy intentando seguir el curso pero ya hay cosas con las que no se puede contar porque estan fuera de servicio.

Muy interesantes las clases, aunque no se ni programar, pero con este curso ya me estoy haciendo una idea de lo que realmente quiero y ademas me están dando las pautas de donde debo de comenzar.

El sans challengue no funciona…

Muy interesante. Hay que revisar los servidores que alberguen nuestro codigo para no cometer un error como el del ejemplo.

No pude instalar trufflehog
Tengo el mismo error de un companero.

Excelente profesor! solo que hay clases que sería bueno que fuera un poco mas lento.

Hola, alguien podría ayudarme? Al momento de hacer pip install trufflehog me dice que necesito GitPython==3.0.6. Que puedo hacer??

Esta algo engorroso seguir el ritmo del profe, aunque se nota que sabe mucho del tema, hay demasiada información que a la fecha ya esta desactualizada, y así es mas difícil entender lo que se esta realizando, ademas, en ninguna parte del curso dice el año. Porque de haber sabido que es un curso que se dicto hace mas de 2 años de seguro no lo habría tomado, porque así como bien dice en varios de los videos que la tecnología avanza a pasos agigantados debería saber que una actualización al curso no quedaría nada mal.

Cordial saludo;

Estimado profesor, considero que seria necesario poder actualizar los repositorios , igualmente los retos .

Feliz día.

VERDADERAMENTE OOOOOOO

Profesor tengo una pregunta, esta herramienta busca en un repositorio GIT, pero mi pregunta es si busca dentro de cada commit, me explico, hay veces que un commit puede borrar una password hard coded, esto tambien busca en todos los commits hechos?

No se si entiende, por ejemplo tengo un repo, y en el commit numero 5 estabas las passwords hard coded, pero luego en el commit 7 se borraron, y en ahora en el commit numero 1500 cuando ya paso mucho tiempo en ese proyecto es posbile revisar commit por commit estado por estado del repo? eso lo hace la herramienta? si no como se puede hacer? Si esto es posible, que recomendacion harias? crear un repo desde 0??

Muchas gracias

Profesor tengo una pregunta, si tengo un repo que tiene vulnerabilidades, me combiene partirlo desde 0?? Esto es una practica que se hace a menudo en las empresas? Pienso incluso que cada cierto eso se haga, no me parece mala idea, ud que piensa?

me ayudan por favor

Muy interesante esta clase. Es la primera vez que escucho el termino entropía.