ctfhub-Git泄露

最新推荐文章于 2024-03-13 20:14:03 发布
最新推荐文章于 2024-03-13 20:14:03 发布
阅读量1k 收藏 5
点赞数 2
文章标签: git
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75317918/article/details/129803599
版权

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境,引起了git泄露漏洞。

在题目中需要用到的工具:

dirsearch(目录扫描工具在python3环境下) 

githack(泄露利用工具在python2的环境下)

git clone https://github.com/BugScanTeam/GitHack

Log

1.启动环境,使用dirsearch扫描(类似于御剑)

由于御剑的字典过于庞大,以至于使用御剑扫描目录时使用的时间过长而且过分依赖字典,所以可以先使用dirsearch,发现存在git漏洞

dirsearch -u http://challenge-2f231683d63f051e.sandbox.ctfhub.com:10800/ -e*

2.使用githack进行扫描这个网址

先进入Githack目录

python2 GitHack.py http://challenge-2f231683d63f051e.sandbox.ctfhub.com:10800/.git

扫完之后就会生成一个文件然后我们要访问这个文件(进入到这个目录) 

 

3.git log 获取文件的日志信息,查看历史记录

4.git diff  对比添加和删除找到flag

Stash

stash命令可用于临时保存和恢复修改,可跨分支。

1.与log类似,使用dirsearch扫描查看是否存在git漏洞

2.使用githack扫描这个网址

python2 GitHack.py http://challenge-1cb25b91b2082586.sandbox.ctfhub.com:10800/.git

访问这个文件

 3. 利用git stash list列出Git栈内的所有备份,可以利用这个列表来决定从那个地方恢复

 4.利用git stash pop从Git栈中读取最近一次保存的内容,恢复工作区的相关内容。由于可能存在多个Stash的内容,所以用栈来管理,pop会从最近的一个stash中读取内容并恢复。

5. ls -a查看

 6.cat这个txt文件,得到flag

 index

类似,扫描找到存在git漏洞。使用githack,进入得到的文件

ls-a查看 cat打开txt文件,得到flag

 

木…
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTF-git泄露漏洞
zhoess的博客
06-24 2932
CTF git泄露漏洞前言一、git泄露漏洞 是什么?二、题目三、软件1.git2.读入数据总结 前言 关于CTF git泄露题目的做法之一 一、git泄露漏洞 是什么? 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、题目 三、软件 1.git ‘’’ ‘’’ 代码如下(示例): 2.读入数据 代码如下(示例): data = pd.read_csv( 'https://labfile.oss.al
git命令-git命令-git命令-git命令
03-11
git命令-git命令-git命令-git命令
CTFHub-Web-信息泄露-Git泄露
qq_54037445的博客
11-18 3139
CTFHub-Web-信息泄露-Git泄露 Log、Stash、Index
dist-git-to-source-git:将dist-git转换为source-git
04-06
将dist-git转换为source-git 这应该类似于 ,除了不是:) 主要区别在于 从上游历史记录开始,并从dist-git应用补丁。 不过,在这种情况下,起点是dist-git本身,因此需要做一些不同的事情。 注意:下面的事情是在git.centos.org/rpms/rpm上完成的。 Intermezzo:所有补丁应如何处理? 这是我们可以使用所有修补程序执行的操作: 在规范文件中使用并应用于源的补丁将被删除,因为它们不会显示在source-git树中。 在规范文件中使用但无法应用的补丁-这是工具应该出错的地方,因为dist-git中发生了一些问题。 规范文件中未使用的补丁最终将位于centos-packaging/SOURCES/下的source-git树中。 维护人员可能希望在将来进行清理。 或者这些可能是出于未知原因而存储的其他类型的文件。 为将来 对于so
CTF中的GIT泄露
最新发布
zy_mpy的博客
03-13 673
由于本人也是一名ctf的萌新,所以笔记比较易懂但又不可避免的浅显,如有错误,欢迎各路大神来指正。先简单介绍一下Git,Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。发布代码的时候,如果没有把,git这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码,这就引起了git泄露漏洞。处理Git泄露的题目时,需要用到scrabble,dirsearch和gihack三个工具。一、常规git泄露常规 gi
posh-git-master.zip
09-04
提供了强大的 tab 补全功能, 并针对提示符进行了增强,以帮助你聚焦于你的仓库状态
CTFHUB中的git泄露
kllwlick的博客
03-07 3049
这里写自定义目录标题CTFHUB上的git泄露题目 CTFHUB上的git泄露题目 自己在刷CTFHUB上的题目时,遇到三道git泄露的题目,同时也第一次使用GitHack来解题,以下是题目的解法。 1.安装GitHack工具,这里推荐使用git clone的方法,在终端下输入命令git clone https://github.com/BugScanTeam/GitHack即可 2.使用GitHack来对网站进行扫描,首先打开GitHack的安装目录,然后使用python GitHack.py+网址+.
CTFHUB之GIT泄露
m0_56988395的博客
03-03 2033
目录 1、Log 2、Stash 3、Index 1、Log 使用dirsearch扫一下 python3 dirsearch.py -u http://challenge-e19c73ec65497ff1.sandbox.ctfhub.com:10800/ -e * 发现有git泄露,这里建议可以先学习一下Git命令 利用scrabble-master克隆下来看看 ./scrabble http://challenge-e19c73ec65497ff1.sandbox.ctf
CTFHub-ctfhub-Git泄露-Log
wrypot的博客
05-18 712
win+R输入cmd一步步进入到目录E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800来到目录后使用git log查看目录git log最后git show展示一下拿到key总结前期却什么python库,就补上git ssh key配置不能少祝师傅们都能够顺利解决!
[CTFHub]Log(web>信息泄露>Git泄露)——详细解析
ZXW_NUDT的博客
05-06 4948
不得不说这个东西的话,做了挺久的,接下来我把详细过程在这里跟大家分享一下 我已经把这道题用到的两个可以使用的东西上传到了这里,可以下载一下: Dirsearch GitHack 下载完成以后可以直接从Windows中直接把GitHack拖进虚拟机(KALI)中,可以放在KALI的桌面上 然后点击右键,选择“在此解压”↓ 然后就会得到一个文件夹↓ 打开文件夹,复制一下文件夹的位置↓ 然后打开终端,在终端中进入该文件夹的视图↓ 然后输入一下代码↓ python GitHack.py <URL&.
CTFHub——Web前置技能——信息泄露——git
weixin_45871855的博客
11-14 1176
get泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 打开环境 http://challenge-d043310a994a68c6.sandbox.ctfhub.com:10080/ 用御剑扫描,只扫描出 URL/index.html 所以我们用另外的扫描工具 dirsearch 来扫描 安装及使用方法(转载) ...
rh-git218-git-svn-2.18.2-1.el7.x86_64.rpm
12-29
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
ansible-role-git:Ansible角色-Git
01-31
ansible-role-git:Ansible角色-Git
CTFHub之 git泄露-log
qq_50556869的博客
11-29 2719
文章目录: 1.git泄露 2.解题流程 3.flag 一、git泄露: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、解题流程: 1.由于之前的ctfhub在git这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeam的GitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
CTF_comment_git库泄露&&二次注入_wp
shelter1234567的博客
05-20 420
git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。攻击者可以利用该漏洞下载git文件夹里的所有内容,如果文件内有敏感信息比如站点源码、数据库账户密码等,攻击者可能通过收集到信息攻击该服务器........
CTF:信息泄露.(CTFHub靶场环境)
网络安全领域___专研者.
07-31 2733
“ 信息泄露 ” 是指网站无意间向用户泄露敏感信息,泄露了有关于其他用户的数据,例如:另一个用户名的财务信息,敏感的商业 或 商业数据 ,还有一些有关网站及其基础架构的技术细节 等泄露信息。泄露敏感的用户或业务数据的危险相当明显,但是泄露技术信息有时可能同样严重,尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他的漏洞。
CTFHub Git泄露
qq_73861475的博客
11-20 457
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。GitHack准备(kali Linux)打开虚拟机sudo su以管理员的身份运行GitHack要在其目录下运行,而且环境也要python2的环境,python3的环境不行。
CTFHub 信息泄露
qq_58879949的博客
09-06 890
手动遍历。
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py http://challenge-e87e0210287ba7b3.sandbox.ctfhub.com:10800/.git/"来使用GitHack工具进行扫描和利用。同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,这些工具只是为了帮助你快速发现ctfhub-git泄露,真正的挖掘过程并不会像这样直接告诉你哪里有泄露,需要自己去尝试和探索。此外,Git这一工具的使用也相当复杂,需要深入学习和实践才能熟练掌握。所以,在学习的道路上还有很长的路要走,希望你能坚持学习,共同进步!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值