本文介绍了如何在Git版本控制系统中检测和修复信息泄露,包括使用dirsearch扫描Web目录、GitHack检查GitHub安全设置,以及通过gitdiff和版本回退获取flag的方法。
1.什么是git信息泄露
"Git信息泄露"是指在使用Git版本控制系统时,敏感信息(如源代码、配置文件、密码、密钥等)不小心被公开或暴露给未经授权的人员
2获得flag方法
在kail上下载dirsearch,GitHck kai最好用root权限
- kail默认情况下不是root权限,开启root权限
----.在命令行输入sudo passwd root-
----按照提示操作就可以设置新的root密码
---.在命令行输入su root即可进入root用户,输入密码就可以了
- 在kail上下载dirsearch
先用管理员权限进行跟新------apt-get update
安装dirsearch---apt-get install dirsearch
使用方法:dirsearch -u 路径 -e 扩展名扫描选项 -t 进程数
想了解跟多选项 dirsearch --help 或者man dirsearch
- 在kail上下载GitHck
git clone https://github.com/BugScanTeam/GitHack 先克隆这个网站 ,第一次下载的时候会报错,要编辑kail 的hosts文件
┌──(root㉿kali)-[~]
└─# vim /etc/hosts
这个方法是一个大佬写的Kali2022git clone失败解决方案_kaliclone-CSDN博客,然后就下载成功了
然后下载git确保git在环境变量里面 apt-get install git
使用方法:python2 路径.git
注意GitHck要在python2 的环境下而开本生自带,上面的dirsearch在python3的环境下,而kail也有python3 的环境,所以用的时候要指明用python2,不然会报错
思路:dirsearch 这个工具来扫描目标网站的目录和文件。dirsearch 是一个Web目录扫描工具,它尝试猜测和发现Web服务器上的隐藏目录和文件。发现有.git泄露,而GitHack发现并修复GitHub仓库中的潜在安全问题。它是一个自动化扫描工具,能够检查GitHub上的各种安全设置,包括但不限于私有分支泄露、敏感文件泄露、权限异常以及Webhook安全。GitHack的核心是基于Python编写的爬虫模块,通过GitHub的公开API进行数据抓取和解析。一旦发现问题,它会生成详细的报告,指导用户如何修复这些问题。
发现有Git信息泄露
进入到这个文件,扫描内容存储在里面
get log 查看历史
发现有三个flag
获取flag
1.版本对比 git diff addflag<分支名> int<分支名>
2.版本退回
git reset --hard<分支名>addflag
这个方法是一个大佬写的CTFHub-Web-信息泄露-Git泄露_ctfhub git泄露-CSDN博客
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
