ctfhub-git泄露-log

最新推荐文章于 2024-05-10 00:10:50 发布
最新推荐文章于 2024-05-10 00:10:50 发布
阅读量625 收藏 6
点赞数 2
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SinAlone/article/details/118418430
版权

提示:当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

这题明确提示有git泄露漏洞,显然你需要一个工具githack

1.python2可以用githack

------windos的话去网站上下载

https://github.com/lijiejie/GitHack

上不去github就用镜像网站

https://git.sdut.me/lijiejie/GitHack

-------linux可以直接下载

下载后别忘了进入下载目录,然后直接在命令窗输入如下代码

// 这里说明一下网址要是自己做题的网址仔细看看别复制成了别人的网址。

然后会发现文件中会有下载一些文件

//   .git文件需要显示隐藏文件才可见

文件被下下来了,这时候查看下载的日志如下输入

------------------------------------详情请看下面python3的部分查看日志------------------------------------与python2完全操作一样

2.python3可以使用 githacker

这个最好在linux上使用,我在windows上不知道为啥跑不了

下载网址

https://github.com/WangYihang/GitHacker

镜像下载

https://git.sdut.me/WangYihang/GitHacker

下载后,里面有个figure文件夹,里面有个demo打开可查看使用步骤

使用   pip3 install -i https://pypi.org/simple/ GitHacker来下载githacker

检查下是否安装成功

输入如下命令下载本网站泄露的内容得到相关文件

查看日志

//  查看日志时一定要去下载的目录去查看

可以清晰的看到,三次提交过程分别有标注 init  ,add flag ,remove flag

意思也很清晰,先初始化仓库,加入flag,移除flag。

head->master说明当前所给信息是移除flag后的版本。

这就有两种方法找到flag。

1)使用

git diff HEAD^

 命令来对比文件之间的不同得到flag

2)  使用

git reset --hard HEAD^

  来切换版本

可以看到版本已经去到add flag这里了

SinAlone
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctf (seelog)
cs_xiaoqiang的博客
01-17 2011
这次要说的和上篇一样,也是一道i春秋下的ctf。给的题目如下图: 依旧是找flag,题目为seelog,直接访问连接  http://106.75.86.18:3333给出的提示是:不是内部网站。我第一时间想到的是会不会这个服务器上还有其他的网站,进过尝试发现方向不对。再仔细从头看,题目为seelog(看日志),解题思路应该与log有关。经过无数的尝试,发现在url后面加上log就可以访问到日志。
CtfHub-wp(web)
01-23
Git泄露是另一个常见情况,通过`dirsearch`扫描并使用`GitHack`工具提取git历史记录,通过`git log`和`git show`命令可以获取flag。Stash功能在git中用于保存未提交的更改,使用`git stash list`查看堆栈,然后用`...
ctfhub中Git泄露-log
weixin_50683638的博客
11-23 2865
WP——ctfhub中git泄露 题目如下: 1.标题提醒log(git目录下的过去日志),使用工具dirsearch(Windows本机)和githack(kali中),进入dirsearch目录下运行cmd, https://github.com/BugScanTeam/GitHackGitHack下载地址,将压缩包拖进kali python dirsearch -u <url> -e * 扫描中看到有git目录,用GitHack扫描目录。 在kali中用githack查看.git
网络安全最新CTF中的GIT泄露_ctf git泄露,资深大牛带你了解源码
最新发布
2401_84132723的博客
05-10 878
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
CTFHub之 git泄露-log
qq_50556869的博客
11-29 2755
文章目录: 1.git泄露 2.解题流程 3.flag 一、git泄露: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、解题流程: 1.由于之前的ctfhub在git这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeam的GitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
ctfhub git log泄露
m_de_g的博客
05-01 970
ctfhub Git LOG泄露 一、解题思路 1.使用目录扫描工具,获得.git泄露,因为目录扫描比较简单,这里不再赘述; 2.工欲善其事,必先利其器;下载GitHack工具 下载链接如下所示: https://github.com/BugScanTeam/GitHack 3.进入到链接后,code--->Download Zip将下载的压缩包解压 4.进入到文件夹目录 5.直接使用cmd进入到当前的目录下,执行Python文件 python2 GitHack.py http://challe
CTF技能git文件中的日志漏洞
diven2的博客
05-20 1310
CTF技能git文件中的日志漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题 原理什么的网上都能搜到,其实做出来的话还是相当简单的。但因为不同系统中githack的配置不同,导致我在windows上花掉了大量的时间去做这个最后也没弄出来。还是推荐使用kali进行操作,windows就不说了我花了一下午都没搞出来,关于git个各种报错简直烦死人。cento
posh-git-master.zip
09-04
Posh-Git是一款专为Windows PowerShell设计的Git命令行扩展工具,它极大地提升了Git在PowerShell环境中的用户体验。标题中的"posh-git-master.zip"表明这是一个包含Posh-Git源码或安装文件的压缩包,可能包含了最新...
dist-git-to-source-git:将dist-git转换为source-git
04-06
将dist-git转换为source-git 这应该类似于 ,除了不是:) 主要区别在于 从上游历史记录开始,并从dist-git应用补丁。 不过,在这种情况下,起点是dist-git本身,因此需要做一些不同的事情。 注意:下面的事情是在...
simple-git:简明Git教程。浅显易懂,快速入门!
02-03
git log ``` **回退到指定版本**: ``` git reset --hard commit-hash ``` **解决冲突**: 手动编辑冲突文件,保留想要的更改,然后添加和提交。 通过了解Git的基本操作和使用Simple-Git库,你可以更高效地在...
changelog-for-git:一种基于Git历史记录创建变更日志的简单方法
05-20
Git Changelog生成器 使用一个命令,生成整个提交历史记录的漂亮.html文件。 这是提醒您以前工作的好方法,并且为客户和/或同事提供了绝佳的视觉效果。 变更日志示例 设置 确保您正在至少提交一次的git存储库中工作...
GitHack-python3.zip
01-18
之前下载了前辈们的GitHack工具发现竟然只能在python2运行,生为程序猿的我瞬间毛血旺了,因为自己装的是python3发现尽然用不了,超灵长类生物不能忍,我瞬间打开源码对键盘一顿咔咔咔胡打,最终成功在python3运行。当然也感谢有前辈们的基础才能够在巨人的肩膀上成长
ctfhub-Git泄露
2202_75317918的博客
03-28 1053
ctfhub-git泄露
git log 文档
Hackerzhuli
02-09 658
NAME git-log - Show commit logs SYNOPSIS git log [<options>] [<revision range>] [[--] <path>…​] DESCRIPTION Shows the commit logs. The command takes options applicable to the...
CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”
Ho1aAs‘s Blog
10-26 1142
文章目录一、“Log”二、“Stash”三、“Index”完 一、“Log” 开启环境 使用dirsearch扫描,发现git泄露 python dirsearch.py -u <url> -e * 使用Githack克隆目录 注意,需要python2环境和安装Git python2 Githack.py <url> 二、“Stash” 三、“Index” 完 欢迎在评论区留言 感谢浏览 ...
一天一道ctf 第21天(无参RCE GitHack)
scrawman的博客
04-11 399
[GXYCTF2019]禁止套娃 .git源码泄露,这里我用dirsearch是没扫出来这个文件的。 用GitHacker这个工具可以查看泄露的.git文件,linux里(我用的是kali)命令行输入git clone https://github.com/lijiejie/GitHack.git 下载,进入GitHack文件夹,命令行输入python GitHack.py http://e3899c1b-f6d8-4f65-8408-46b968e41c33.node3.buuoj.cn/.git/就能得
CTF练习 Log Crypto
orchid_sea的博客
12-29 434
在网络的深处,存在一个数字日志,记录着系统的起起伏伏。然而,最近出现了一个神秘的扫描器,频繁对系统进行攻击,你是数字侦探,被委派任务找出这个扫描器最为活跃的来源IP(出现重复按照日期最早的算)。
git泄露工具 githacker安装 + linux把可执行命令添加到环境变量中
ShenZ的博客
09-07 2944
工具地址:https://github.com/WangYihang/GitHacker 1.安装 pip3 install GitHacker 2.将GitHacker可执行命令添加到环境变量 find命令可以发现GitHacker命令在/home/[username]/.local/bin/githacker 以下用户名都以p3代替 (1)创建软连接 cd /usr/sbin //创建软连接放到 /usr/bin 或者 /usr/sbin 目录下 ln -s /home/p3/.local/bi
CTFHub-git泄露_log-wp
z1moq的博客
06-09 241
首先康康git泄露是个啥玩意 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。通常情况下下载 .git 文件中会存在网页的快照 【快照:关于指定数据集合的一个完全可用拷贝,该拷贝包括相应数据在某个时间点(拷贝开始的时间点)的映像。快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品】 Git有三种状态:已修改(modified)、已暂存(staged)、已提交(committed) .git文件的结构:
ctfhub-git泄露stash
09-13
同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SinAlone

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值