CTF中的GIT泄露_ctf git泄露

于 2024-09-07 04:37:22 发布
阅读量495 收藏 17
点赞数 24
文章标签: git
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86950416/article/details/141980250
版权

GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,还原重建工程源代码。

虚拟机安装的GitHack需要用到Python2的版本,而且需要先进入GitHack目录下,否则找不到GitHack.py文件。

python2 GitHack.py -u url(此时的url末尾不要忘记/.git)

扫描完成后会在GitHack文件夹下生成一个dist文件夹,

1.使用dirsearch工具对网站进行扫描。

dirsearch -u url -e*

扫描后若发现存在Git漏洞,则可以进行第二步。

2.GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,还原重建工程源代码。

虚拟机安装的GitHack需要用到Python2的版本,而且需要先进入GitHack目录下,否则找不到GitHack.py文件。

python2 GitHack.py -u url(此时的url末尾不要忘记/.git)

扫描完成后会在GitHack文件夹下生成一个dist文件夹,进入文件夹后执行“git log-all”或“ git branch-v”命令,只能看到 master 分支的信息。如果执行“git reflog”命令,兼可以看到一些 checkout 的记录,在checkout记录中我们可能会发现其他分支,此时工具是无法还原其他分支的信息的,需要先手动下载其他分支的head信息保存到.git/refs/heads/secret中

(执行命令wget http:/127.0.0.1:8000/.git/refs/heads/secret”)。回复head信息后就可以在用一次githacak,此时分支的信息就被还原了。

针对于CTF-Git泄露而言的技巧

题目来源:CTFHUB-WEB-git泄露

基于做题而言,其实前几步都是大致相似的,都是先diresearch扫描网址,在用GitHack扫描,区别就在于后面几步,目前遇到的有git log类型,git stash类型,git index类型。

git log:

**Githack扫描完后目录下会生成一个dist文件,**进入到dist的最后一层,用git log查看历史记录

此时我们能够看到不同版本分别进行了什么操作,例如上图,在第二个版本时出现了add flag的操作,说明我们要找的flag在第二个版本里,此时有两种方法,

1.版本比较

git diff 版本名1 版本名2

能够找出两个版本的不同,也就是其中一个存在flag,另一个不存在,所以会把flag爆出。

2.版本回退

git reset --hard 版本名

使用命令后,目录下会出现一个txt文本,就可以打开查看版本信息。下图是使用的是第二种方法。

git stash

**Githack扫描完后目录下会生成一个dist文件,**进入到dist的最后一层,用git stash pop

目录下会生成一个txt文本,打开获得flag。

git index

Githack扫描完后目录下会生成一个dist文件,进入到dist的最后一层,用git ls-files --stage 查看index file 文件

2401_86950416
关注
CTF-git泄露漏洞
zhoess的博客
06-24 3109
CTF git泄露漏洞前言一、git泄露漏洞 是什么?二、题目三、软件1.git2.读入数据总结 前言 关于CTF git泄露题目的做法之一 一、git泄露漏洞 是什么? 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、题目 三、软件 1.git ‘’’ ‘’’ 代码如下(示例): 2.读入数据 代码如下(示例): data = pd.read_csv( 'https://labfile.oss.al
CTFHUB-Git泄露
qq_62078839的博客
07-21 584
首先下载GitHack。
常用git stash命令
Koromon的博客
10-10 434
常用git stash命令: (1)git stash save “save message” : 执行存储时,添加备注,方便查找,只有git stash 也要可以的,但查找时不方便识别。 (2)git stash list :查看stash了哪些存储 (3)git stash show :显示做了哪些改动,默认show第一个存储,如果要显示其他存贮,后面加stash@{$num},比如第二个 git stash show stash@{1} (4)git stash show -p : 显示第一个存储的
CTFGIT泄露
zy_mpy的博客
03-13 1337
由于本人也是一名ctf的萌新,所以笔记比较易懂但又不可避免的浅显,如有错误,欢迎各路大神来指正。先简单介绍一下GitGit是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。发布代码的时候,如果没有把,git这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码,这就引起了git泄露漏洞。处理Git泄露的题目时,需要用到scrabble,dirsearch和gihack三个工具。一、常规git泄露常规 gi
Git泄露CTFHUB的git泄露
最新发布
ndjnddjxn的博客
05-09 998
去 .git/objects/(objects 所有的Git对象都会存放在这个目录,对象的SHA1哈希值的前两位是文件夹名称,后38位作为对象文件名) 文件夹下下载 对应的文件。git泄露指的是开发人员在开发过程遗忘删除 .git 文件夹,导致攻击者可以通过 .git 文件夹的信息获取开发人员提交过的所有源码。使用git init初始化git仓库的时候,会生成一个.git的隐藏目录,git会将所有的文件,目录,提交等转化为git对象,压缩存储在这个文件夹当。解压文件,按原始的目录结构写入源代码。
CTFgit源码泄露
qtL0ng的博客
04-06 5155
CtfHub----Git泄露 Log 下载源码: 命令记录: $ git reflog # 显示当前分支的最近几次提交 $ git show [commit] # 显示某次提交的元数据和内容变化 $ git log # 显示当前分支的版本历史 $ git reset --hard [commit] # 重置当前分支为指定commit,与指定commit一致 解法一: 解法二: Stash git stash是git一个很有用的命令,它的作用是把当前未提交的修改暂存起来
githack泄露利用_softlysu3_ctfgithack_githack_CTF之.git泄露_githack下载_
10-03
GitHack 是一个针对 `.git` 目录泄露的利用工具,主要用于网络安全竞赛(CTF,Capture The Flag)的Web安全领域。`.git` 目录是Git版本控制系统的一部分,通常包含项目的完整历史记录和敏感信息,如源代码、配置...
Git泄露(.git leakage)(git log 和 Stash储藏)+ [CTFHub]Git泄露系列writeup
ShenZ的博客
09-07 1965
Git泄露 .git leakage 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git文件夹 hooks:存放一些shell脚本 info:存放仓库的全局性排除文件信息 logs:保存所有更新的引用记录 objects:存放所有的git对象 refs:存储指向分支的提交对象的指针 config:仓库的配置信息 index:暂存区(二进制) HEAD:映射到ref的引用 工具 githack pytho
CTFHub Web/信息泄露/git泄露/log 遇到的问题
weixin_51369712的博客
10-07 1419
一些简单ctfhub上的题目的低级错误
CTFHUB之GIT泄露
m0_56988395的博客
03-03 2149
目录 1、Log 2、Stash 3、Index 1、Log 使用dirsearch扫一下 python3 dirsearch.py -u http://challenge-e19c73ec65497ff1.sandbox.ctfhub.com:10800/ -e * 发现有git泄露,这里建议可以先学习一下Git命令 利用scrabble-master克隆下来看看 ./scrabble http://challenge-e19c73ec65497ff1.sandbox.ctf
ctfhub-Git泄露
2202_75317918的博客
03-28 1096
ctfhub-git泄露
CTFGIT泄露_ctf git泄露,面试必会
2401_84164527的博客
04-09 864
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
CTFHub-Web-信息泄露-Git泄露
qq_54037445的博客
11-18 3362
CTFHub-Web-信息泄露-Git泄露 Log、Stash、Index
CTFHub-Git泄露-Log
feng的博客
09-03 4507
CTFHub-Git泄露-Log 前言 以前虽然学过git,但是时间久远,而且没有和安全方面联系起来。这道Git泄露题可以说是比较简单,帮助我慢慢架构起git的知识。 题目背景 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 知识点 做这道题需要简单知道git的相关命令,比如: git log 显示从最近到最远的提交日志。 git diff 简单的来说就是查看不同,具体用法如下: 1. git diff:是查看wo
CTF_comment_git泄露&&二次注入_wp
shelter1234567的博客
05-20 545
git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。攻击者可以利用该漏洞下载git文件夹里的所有内容,如果文件内有敏感信息比如站点源码、数据库账户密码等,攻击者可能通过收集到信息攻击该服务器........
CTFHub 信息泄露
qq_58879949的博客
09-06 1064
手动遍历。
git泄露漏洞总结
weixin_66839513的博客
04-02 2835
Git泄露是指在使用Git版本控制系统时,由于配置不当或者操作失误,导致敏感信息(如密码、密钥、源代码等)被意外地上传到公开的代码仓库或者其他公开可访问的地方,从而被未授权的人获取到。
ctfhub git泄露log
10-19
ctfhub存在git泄露漏洞,可以使用githack扫描,具体命令为:python2 GitHack.py -u http://challenge-a2143da80df5cd8b.sandbox.ctfhub.com:10800/.git。同时,可以使用git diff命令对比文件,具体命令为:git diff ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值