CTFHub | web——Git泄露之Stash、Index

最新推荐文章于 2023-11-20 22:34:44 发布
最新推荐文章于 2023-11-20 22:34:44 发布
阅读量466 收藏 3
点赞数 1
分类专栏: CTF小白进阶之路 文章标签: 1024程序员节 git web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76435948/article/details/134024730
版权

文章目录

Git泄露——Stash

题目:

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack

在这里插入图片描述

多学一点

  • stash是git的一个操作命令
  • git stash list 查看隐藏的记录
  • git stash pop 恢复隐藏的内容,同时删除隐藏记录
  • git stash apply 恢复隐藏的内容,但不会删除隐藏记录
  • 使用stash pop/apply可以选择恢复哪条记录,如恢复stash@{1}记录,则使用git stash pop stash@{1}或者git stash apply stash@{1}
  • 详细了解更多,请看:stash----bug分支-廖雪峰的官方网站

题解:

这一次学聪明了,不懂会先去查本题的题目类型了,哈哈哈!先去查一波stash,因为此题很可能需要用到git操作的stash工具。

在这里插入图片描述

  1. 下载GitHack,进入GitHack目录,扫描该网址,出现一个网址名命名的文件夹(上一题4.1 Log中的小知识中有下载过程)上一题文章传送门
    在这里插入图片描述在这里插入图片描述
  2. 进入该文件夹
    在这里插入图片描述
  3. 使用stash命令寻找stash:git stash list
    在这里插入图片描述
  4. 发现有stash,再使用命令:git stash pop
    在这里插入图片描述
    发现该文件夹多了一个txt文件,打开就找到了flag.
    在这里插入图片描述
    在这里插入图片描述

2. Git泄露——Index

题目:

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack
在这里插入图片描述

多学一点

  • Git的版本库里存了很多东西,其中最重要的就是称为stage(或者叫index)的暂存区

题解:

对于这题,和上面一题常规流程,打开GitHack,扫描该网址,就出现一个txt文件,打开就是flag。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
flag到手!
在这里插入图片描述

剑心诀
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index
Ho1aAs‘s Blog
10-26 1102
文章目录一、“Log”二、“Stash”三、“Index”完 一、“Log” 开启环境 使用dirsearch扫描,发现git泄露 python dirsearch.py -u <url> -e * 使用Githack克隆目录 注意,需要python2环境和安装Git python2 Githack.py <url> 二、“Stash” 三、“Index” 完 欢迎在评论区留言 感谢浏览 ...
Fork——GIt的高效可视化管理工具
07-25
Fork——GIt的高效可视化管理工具
全栈必备——Git
02-25
本章介绍开始使用Git前的相关知识。我们会先了解一些版本控制工具的历史背景,然后试着让Git在你的系统上跑起来,直到最后配置好,可以正常开始开发工作。读完本章,你就会明白为什么Git会如此流行,为什么你应该立即开始使用它。(查看Git详解系列的全部文章)什么是版本控制?我真的需要吗?版本控制是一种记录若干文件内容变化,以便将来查阅特定版本修订情况的系统。在本书所展示的例子中,我们仅对保存着软件源代码的文本文件作版本控制管理,但实际上,你可以对任何类型的文件进行版本控制。如果你是位图形或网页设计师,可能会需要保存某一幅图片或页面布局文件的所有修订版本(这或许是你非常渴望拥有的功能)。采用版本控制
[CTFHub]Stashweb>信息泄露Git泄露
ZXW_NUDT的博客
05-08 504
首先用dirsearch扫描↓
CTFHub | Stash
尼泊罗河伯的博客
10-09 1137
根据题目描述内容,此题与之前的 log 类似,应该是了解对 git 的使用。在解题 log 时使用了工具 GitHack 将网页目录 clone 到本地目录下,然后在 clone 的目录下使用 log 命令查看历史记录,并发现 add flag 中存在 flag 。那么此题思路与前面题目一致,同样在查看历史记录时发现 add flag 中存在一个未知的文本文件,怀疑 flag 存在于文本文件中,通过对 git 命令的学习以及题目的提示,使用 git stash pop 命令可以恢复文件。查看发现此题flag
ctfhub--stash
ljj20020718的博客
11-17 389
ctfhub--stash
ctfhubgit泄露-stash
weixin_50683638的博客
11-23 1267
WP ——stash 题目如下 跟上一题一样用dirsearch扫描看到有git目录后用GitHack 进入目录 首先还是git log,但是回退版本或者使用git diff的话返回的内容没有flag,因此直接git stash list,发现有add flag 因此直接git stash apply或者git stash pop,然后发现目录下多了个txt文件,打开里面就是flag. ...
CTFHub | Index
尼泊罗河伯的博客
10-13 877
此题与之前题目类似,使用 GitHack 工具 clone 题目源码到本地目录,没想到查看本地目录文件时发现多了一个文本文件,文本文件中得到此题 flag 。
CTFHub Git泄露
最新发布
qq_73861475的博客
11-20 453
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。GitHack准备(kali Linux)打开虚拟机sudo su以管理员的身份运行GitHack要在其目录下运行,而且环境也要python2的环境,python3的环境不行。
CTFHub-Git泄露-Stash
feng的博客
09-03 1681
CTFHub-Git泄露-Stash 前言 这题总的来说还是比较适合像我这样的萌新入门。一开始不知道stash是什么,但是既然题目提示的这么明显,便上网查,知道了stash是干什么的,基本也就猜到了出题人会怎么考你,再打开环境一试果然和我想的一样。 知识点 关于stash的相关知识,请参考这边博客,看完啥都懂了。 stash相关知识 WP 还是老方法,dirsearch扫描发现存在git泄露,再githack,然后进入目录打开bash。 首先还是git log,发现三次操作,但是回退版本或者使用git di
CTFHub Git泄露Index解题思路笔记
曹振国的博客
05-07 1501
文章目录一、开启环境1.使用dirsearch工具扫描目录2.使用GitHack工具3.打开文件夹查看历史文件4.使用git diff比对文件五、FLAG 一、开启环境 1.使用dirsearch工具扫描目录 python3 dirsearch.py -u http://challenge-df934588d76028e3.sandbox.ctfhub.com:10080/ 发现存在Git泄露 2.使用GitHack工具 python GitHack.py -u http://challenge
CTFHub Web 信息泄露 Git泄露 Stash
m0_51319369的博客
04-29 1849
尝试了dirsearch、GitHacker、GitHack三种工具,扫描路径后,都没有找到 stash ,不知道为什么,特此记录。 官方解法一: 1,执行 git stash list 发现有 stash 2,执行 git stash pop 发现从 git 栈中弹出来一个文件,这个文件的内容就是 flag 官方解法二: 1,如果你使用的 GitHack 工具执行完 git stash show 之后没有显示 stash 记录,那么不妨来尝试这个方法 查看 .git/refs/stash 找到 sta
ctfhub技能树—信息泄露git泄露Stash
qq_46222050的博客
08-25 2293
git stash 的作用 git stash用于想要保存当前的修改,但是想回到之前最后一次提交的干净的工作仓库时进行的操作.git stash将本地的修改保存起来,并且将当前代码切换到HEAD提交上. 通过git stash存储的修改列表,可以通过git stash list查看.git stash show用于校验,git stash apply用于重新存储.直接执行git stash等同于git stash save. 最新的存储保存在refs/stash中.老的存储可以通过相关的参数获得,例如sta
CTFHub-Git泄露-index
feng的博客
09-03 1776
CTFHub-Git泄露-index 前言 本来以为git中的index是类似Web中网站的index的,后来一查才知道是暂存区。 知识点 关于这题相关的知识点,可以参考下面的博客: index 重点就是其中的git checkout-index命令。 WP 还是老样子,dirsearch,然后githack,之后尝试一些方法不行,按照提示直奔index而去。用记事本打开index,发现乱码,用cat打开也是乱码,估计是看不了了,然后使用git checkout-index命令,检出暂存区中的文件到工作区,
CTFHub-git泄露_stash-wp
z1moq的博客
06-11 192
有了上次 log 的经验,这次直接使用GitHacker下载源代码至文件夹中 先来康康日志 既然题目是stash,去查查git stash是干什么的 git stash用于想要保存当前的修改,但是想回到之前最后一次提交的干净的工作仓库时进行的操作.git stash将本地的修改保存起来,并且将当前代码切换到HEAD提交上. 通过git stash存储的修改列表,可以通过git stash list查看.git stash show用于校验,git stash apply用于重新存储...
[CTFHub]Indexweb>信息泄露Git泄露
ZXW_NUDT的博客
05-08 554
这道题跟→[CTFHub]Log(web>信息泄露Git泄露)——详细解析一模一样
CTFHub-git泄露_index-wp
z1moq的博客
06-11 209
githacker直接下载 有手就行
CTFHub-web详解
shayebudon的博客
11-20 3362
信息泄露 目录遍历 遍历每一个文件夹,找到flag.txt,复制内容提交 PHPINFO 打开页面,从信息中寻找flag。 备份文件下载 网站源码 尝试各种组合,最后发现在网站后添加www.zip后成功下载压缩文件 将解压后的文件名放在url后,即可出现flag bak文件 下载index.php.bak打开即可看到flag vim缓存 当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存...
常用git stash命令
Koromon的博客
10-10 400
常用git stash命令: (1)git stash save “save message” : 执行存储时,添加备注,方便查找,只有git stash 也要可以的,但查找时不方便识别。 (2)git stash list :查看stash了哪些存储 (3)git stash show :显示做了哪些改动,默认show第一个存储,如果要显示其他存贮,后面加stash@{$num},比如第二个 git stash show stash@{1} (4)git stash show -p : 显示第一个存储的
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py http://challenge-e87e0210287ba7b3.sandbox.ctfhub.com:10800/.git/"来使用GitHack工具进行扫描和利用。同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露stash。 然而,需要注意的是,这些工具只是为了帮助你快速发现ctfhub-git泄露,真正的挖掘过程并不会像这样直接告诉你哪里有泄露,需要自己去尝试和探索。此外,Git这一工具的使用也相当复杂,需要深入学习和实践才能熟练掌握。所以,在学习的道路上还有很长的路要走,希望你能坚持学习,共同进步!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

剑心诀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值