Git泄露——Stash
题目:
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack
多学一点
- stash是git的一个操作命令
- git stash list 查看隐藏的记录
- git stash pop 恢复隐藏的内容,同时删除隐藏记录
- git stash apply 恢复隐藏的内容,但不会删除隐藏记录
- 使用stash pop/apply可以选择恢复哪条记录,如恢复stash@{1}记录,则使用git stash pop stash@{1}或者git stash apply stash@{1}
- 详细了解更多,请看:stash----bug分支-廖雪峰的官方网站
题解:
这一次学聪明了,不懂会先去查本题的题目类型了,哈哈哈!先去查一波stash,因为此题很可能需要用到git操作的stash工具。
- 下载GitHack,进入GitHack目录,扫描该网址,出现一个网址名命名的文件夹(上一题4.1 Log中的小知识中有下载过程)上一题文章传送门
- 进入该文件夹
- 使用stash命令寻找stash:git stash list
- 发现有stash,再使用命令:git stash pop
发现该文件夹多了一个txt文件,打开就找到了flag.
2. Git泄露——Index
题目:
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack
多学一点
- Git的版本库里存了很多东西,其中最重要的就是称为stage(或者叫index)的暂存区
题解:
对于这题,和上面一题常规流程,打开GitHack,扫描该网址,就出现一个txt文件,打开就是flag。
flag到手!