ctfhub技能树—信息泄露—git泄露—Log

什么是git泄露?

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

打开靶机环境

 

 查看网页内容

 

 使用dirsearch进行扫描

python3 dirsearch.py -u <url> -e *

 

 使用githack工具处理git泄露情况

python2 GitHack.py <url>(url格式:http(s)://XXX/.git/)

 

 查看还原的信息

使用git log查看历史记录

 

 当前所处的版本为 remove flag,flag 在 add flag 这次提交中

 与 add flag 9b5b58…… 这次提交进行比对

命令如下

git diff 9b5b583530f59c07fc62f457066d4ebd81db9782

 

 成功拿到flag

 

方法二

直接切换到 add flag 9b5b58…… 这个版本

命令如下

git reset --hard 9b5b583530f59c07fc62f457066d4ebd81db9782

 

 在目录下会产生几个文件

查看321751876326860.txt文件信息

 

 成功拿到flag


__EOF__

本文作者anweilx
本文链接https://www.cnblogs.com/anweilx/p/12453703.html
关于博主:评论和私信会在第一时间回复。或者直接私信我。
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角推荐一下。您的鼓励是博主的最大动力!
posted @   anweilx  阅读(8765)  评论(7编辑  收藏  举报
编辑推荐:
· 用 C# 插值字符串处理器写一个 sscanf
· Java 中堆内存和栈内存上的数据分布和特点
· 开发中对象命名的一点思考
· .NET Core内存结构体系(Windows环境)底层原理浅谈
· C# 深度学习:对抗生成网络(GAN)训练头像生成模型
阅读排行:
· 为什么说在企业级应用开发中,后端往往是效率杀手?
· 本地部署DeepSeek后,没有好看的交互界面怎么行!
· 趁着过年的时候手搓了一个低代码框架
· 用 C# 插值字符串处理器写一个 sscanf
· 推荐一个DeepSeek 大模型的免费 API 项目!兼容OpenAI接口!
点击右上角即可分享
微信分享提示