精华内容
下载资源
问答
  • 文章目录一、什么是Git泄露?二、进入环境2.查看页面3.使用dirsearch扫描目录4.利用GitHack工具扫描4.使用git log查看历史记录三、flag1.使用git diff对比文件得到flag:==ctfhub{7695df0273bfd39a86c8ecd4}==2.利用...


    一、什么是Git泄露?

    当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞

    二、进入环境

    在这里插入图片描述

    2.查看页面

    在这里插入图片描述

    3.使用dirsearch扫描目录

    python3 dirsearch.py -u http://challenge-b20bc02a1f02c35f.sandbox.ctfhub.com:10080/
    

    发现存在git泄露

    在这里插入图片描述

    4.利用GitHack工具扫描

    python GitHack.py -u http://challenge-b20bc02a1f02c35f.sandbox.ctfhub.com:10080/.git
    

    GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,还原重建工程源代码。

    在这里插入图片描述

    4.使用git log查看历史记录

    可以看见文件有过三次操作,flag处于add flag版本中
    得到flag有两种解法:
    1.文件比对
    2.退回版本

    在这里插入图片描述

    三、flag

    1.使用git diff对比文件

    ①:git diff:当工作区有改动,临时区为空,diff的对比是“工作区与最后一次commit提交的仓库的共同文件”;当工作区有改动,临时区不为空,diff对比的是“工作区与暂存区的共同文件”。
    ②:git diff <分支名1> <分支名2> :比较两个分支上最后 commit 的内容的差别

    使用命令:
    git diff 8240595cecf9ebdd21b9c5a2ba6ef582efa071d2 c9d03e2c6e6de0422d7c8d624c66529a3bd1b9c6
    

    在这里插入图片描述

    得到flag:ctfhub{7695df0273bfd39a86c8ecd4}

    2.利用git reset回退文件版本

    reset --hard 会在重置 HEAD 和branch的同时,重置stage区和工作目录里的内容。当你在 reset 后面加了 --hard 参数时,你的stage区和工作目录里的内容会被完全重置为和HEAD的新位置相同的内容。换句话说,就是你的没有commit的修改会被全部擦掉。

    使用命令:
    git reset --hard 8240595cecf9ebdd21b9c5a2ba6ef582efa071d2
    

    在这里插入图片描述
    在这里插入图片描述

    1)打开文件发现flag

    在这里插入图片描述

    flag:ctfhub{7695df0273bfd39a86c8ecd4}


    在这里插入图片描述

    展开全文
  • CTFHub-Git泄露-Log

    千次阅读 2020-09-03 19:11:47
    CTFHub-Git泄露-Log 前言 以前虽然学过git,但是时间久远,而且没有和安全方面联系起来。这道Git泄露题可以说是比较简单,帮助我慢慢架构起git的知识。 题目背景 当前大量开发人员使用git进行版本控制,对站点自动...

    CTFHub-Git泄露-Log

    前言

    以前虽然学过git,但是时间久远,而且没有和安全方面联系起来。这道Git泄露题可以说是比较简单,帮助我慢慢架构起git的知识。

    题目背景

    当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

    知识点

    做这道题需要简单知道git的相关命令,比如:

    git log 显示从最近到最远的提交日志。
    
    git diff 简单的来说就是查看不同,具体用法如下:
    1. git diff:是查看working tree与index的差别的。
    2. git diff --cached:是查看index与repository的差别的。
    3. git diff HEAD:是查看working tree和repository的差别的。其中:HEAD代表的是最近的一次commit的信息。
    
    git reset 可用于回退版本库
    

    以及Githack(注意,githack需要在python2中才能使用,而且github上面有一个githack是不能用的,我一开始就下了那个不能用了结果弄了很久。)的相关用法。

    WP

    打开之后进行dirsearch扫描,发现存在git泄露,使用Githack

    python2 githack.py http://challenge-20523a0b6899c975.sandbox.ctfhub.com:10080/.git/
    

    之后进入githack下的dist里的本题的目录。
    在这里插入图片描述
    正常进入之后应该只有.log文件,我这里有其他的东西是因为我已经回退版本了,往下看就懂了。如果没有.log应该是被隐藏了。然后打开cmd或者bash都可,输入git log显示提交日志。
    在这里插入图片描述
    我们可以看到有三次操作,一次是init初始化现有仓库,经过这次命令就会产生.log文件。之后执行了add flag和remove flag。可以判断,flag应该是在add flag的那个版本,我们现在是在remove flag。所以,这题有两种解法,第一种是回退到之前的版本,git reset可以实现。第二种是直接查看add flag和remove flag这两个版本的不同,git diff可以实现。

    方法一:

    git reset --hard HEAD^
    

    方法二:

    git diff HEAD^
    

    执行以上两种命令都可以成功获得flag,本题解出。

    展开全文
  • 这就引起了git泄露漏洞。 先用dirsearch扫描一下,dirsearch用法参见:https://www.jianshu.com/p/5d99bafb1547 此处命令: python dirsearch.py -u https://www.example.com/ -e php 貌似没有什么有用的内容,试...

    当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。
    在这里插入图片描述
    先用dirsearch扫描一下,dirsearch用法参见:https://www.jianshu.com/p/5d99bafb1547

    此处命令:

    python dirsearch.py -u https://www.example.com/ -e php

    在这里插入图片描述
    貌似没有什么有用的内容,试了很多办法,但是返回状态码都是503,这个问题以后在解决,直接用githack工具下载.git文件试试

    命令:

    python GitHack.py
    http://challenge-3d4c39b9798d6730.sandbox.ctfhub.com:10800/.git

    在这里插入图片描述查看一下这个文件
    在这里插入图片描述
    再查看一下这个文件里的第一个文件

    在这里插入图片描述根据提示,我们进入到爆出来的那个文件夹下面
    使用命令git log

    在这里插入图片描述可以看到本题再原文件的基础上add了一个flag,然后有remove了一个flag,我们现在处在remove的版本下,使用一条命令,让两个版本的文件相比对得出flag
    命令:git diff fd63532ebcf1fa46d32328ef973f684b12cda97d

    在这里插入图片描述还有另一种方法
    直接切换到 add flag
    命令:git reset --hard

    在这里插入图片描述
    回到目录下会产生新的文件
    在这里插入图片描述
    拿开那个txt
    在这里插入图片描述
    666
    我又试了一次dirsearch,只有一个状态码为200
    在这里插入图片描述吐了

    展开全文
  • 文章目录一、开启环境1.使用dirsearch工具扫描目录2.使用GitHack工具3.打开文件夹查看历史文件4.使用git diff比对文件五、FLAG ...发现存在Git泄露 2.使用GitHack工具 python GitHack.py -u http://challenge

    一、开启环境

    image-20210507203549454

    1.使用dirsearch工具扫描目录

    python3 dirsearch.py -u http://challenge-df934588d76028e3.sandbox.ctfhub.com:10080/
    

    发现存在Git泄露

    image-20210507203828160

    2.使用GitHack工具

     python GitHack.py -u http://challenge-df934588d76028e3.sandbox.ctfhub.com:10080/.git
    

    image-20210507204021619

    3.打开文件夹查看历史文件

    git log
    

    image-20210507204247071

    4.使用git diff比对文件

     git diff 255498e8351aea1277b4f0d4e41c38aa0e5d2c65	//发现flag
    

    image-20210507204445078

    五、FLAG

    ctfhub{4bfd9b9f38c9b2fc0bf49339}

    展开全文
  • CTFHub Web 信息泄露题目 Git泄露log,stash,index)1.log2.stash3.index 1.log 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露...
  • 我们首先了解什么是git泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 我们打开环境,查看页面。 使用githack工具对...
  • 下载完成以后可以直接从Windows中直接把GitHack拖进虚拟机(KALI)中,可以放在KALI的桌面上 然后点击右键,选择“在此解压”↓ 然后就会得到一个文件夹↓ 打开文件夹,复制一下文件夹的位置↓ 然后打开终端,在...
  • Git泄露 .git leakage 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git文件夹中 hooks:存放一些shell脚本 info:存放...
  • CTFHub-Git泄露-Stash

    2020-09-03 19:56:18
    CTFHub-Git泄露-Stash 前言 这题总的来说还是比较适合像我这样的萌新入门。一开始不知道stash是什么,但是既然题目提示的这么明显,便上网查,知道了stash是干什么的,基本也就猜到了出题人会怎么考你,再打开环境一...
  • git泄露-log 目录扫描工具-dirsearch 下载dirsearch git clone https://github.com/maurosoria/dirsearch 进入虚拟机使用dirsearch进行扫描,先进入dirsearch目录 扫描命令 python3 dirsearch.py -u <url>...
  • CTFHub-web(Git泄露)

    千次阅读 2020-08-25 20:39:45
    当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git... http://challenge-3d5f95fbd136fa99.sandbox.ctfhub.com:10080/ -e * 2. 使用GItHack获取源码 这里要确保是python2版本 pytho
  • 【CTF整理】CTFhub-Web-信息泄露-Git泄露 一、 log 进入界面,得到一个url,根据提示直接开干 1、使用dirsearch扫描url,发现url低下存在敏感文件.git python3 dirsearch.py -u <url> -e * 2、使用GitHack...
  • 这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题) Stash(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。...
  • 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git...python GitHack.py http://challenge-d0475190280f917d.sandbox.ctfhub.com:10800/.git 进入到这个文件夹,在这里打开终端 然后
  • 发现目标 然而什么都莫得,那么我们试一下这个 好像是有东西的,试了一下直接下载这个,然而报...python GitHack.py 200~challenge-d5d0ae83a8f21572.sandbox.ctfhub.com:10800/.git 好吧,githack就可以啦! ...
  • ctfhub-git泄露-log

    2021-07-02 16:21:04
    这就引起了git泄露漏洞。 这题明确提示有git泄露漏洞,显然你需要一个工具githack 1.python2可以用githack ------windos的话去网站上下载 https://github.com/lijiejie/GitHack 上不去github就用镜像网站 ...
  • CTFHubgit泄露-log

    2021-11-29 20:19:38
    1.由于之前的ctfhubgit这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeam的GitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
  • ctfhubGit泄露-log

    2021-11-23 09:39:07
    WP——ctfhubgit泄露 题目如下: 1.标题提醒log(git目录下的过去日志),使用工具dirsearch(Windows本机)和githack(kali中),进入dirsearch目录下运行cmd, https://github.com/BugScanTeam/GitHackGitHack...
  • CTFHub-git泄露_log-wp

    2021-06-09 19:17:41
    首先康康git泄露是个啥玩意 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。通常情况下下载 .git 文件中会存在网页的快照 ...
  • 发现存在git文件泄露,使用GitHack工具: 扫描出来这两个,我做到这就不知道该怎么做了,参考了大佬的文章才知道,原来是可以通过命令查看的: 通过git log 查看日志,发现有一个add flag很可疑,接着我们让工作区...
  • CTFhub技能树web-Git泄露

    千次阅读 2020-04-04 14:10:54
    1.log 使用dirsearch扫描一下网站: 在git/log中可以看到add flag版本 用Githack下载项目 再用git diff HEAD^查看flag
  • CTFHUB-信息泄露-Git

    2021-07-09 19:58:12
    Log Stash Index
  • 克隆githack后 先进入GitHack目录 python GitHack.py 网址/....同样,用git log xxxxxx 查看日志的方式也可以 查看日志后我发现,一共进行了三次操作 init初始化(查询百度翻译) 所以说第二步是add flag Remo...

空空如也

空空如也

1 2 3 4 5 ... 7
收藏数 133
精华内容 53
关键字:

ctfhubgit泄露log