ctfhub技能树—信息泄露—git泄露—Log

什么是git泄露?

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

打开靶机环境

 

 查看网页内容

 

 使用dirsearch进行扫描

python3 dirsearch.py -u <url> -e *

 

 使用githack工具处理git泄露情况

python2 GitHack.py <url>(url格式:http(s)://XXX/.git/)

 

 查看还原的信息

使用git log查看历史记录

 

 当前所处的版本为 remove flag,flag 在 add flag 这次提交中

 与 add flag 9b5b58…… 这次提交进行比对

命令如下

git diff 9b5b583530f59c07fc62f457066d4ebd81db9782

 

 成功拿到flag

 

方法二

直接切换到 add flag 9b5b58…… 这个版本

命令如下

git reset --hard 9b5b583530f59c07fc62f457066d4ebd81db9782

 

 在目录下会产生几个文件

查看321751876326860.txt文件信息

 

 成功拿到flag

posted @ 2020-03-10 10:20  anweilx  阅读(8631)  评论(7编辑  收藏  举报