版本控制历史中的信息披露

于 2021-09-15 11:39:40 发布
阅读量549 收藏
点赞数
分类专栏: 渗透测试 文章标签: git svn jenkins 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anlalu233/article/details/120303389
版权
本文讲述了如何通过下载.git文件夹,查看HEAD文件,并利用git cat-file命令逐步恢复文件内容,直至揭露安全漏洞,例如账号和密码。过程中提到了在版本控制系统中,不恰当的信息披露可能导致安全风险。
摘要由CSDN通过智能技术生成

在这里插入图片描述
1.首先我们先把/.git文件夹下载下来

wget -r https://[靶场ID].web-security-academy.net/.git

在这里插入图片描述
下载完成:
在这里插入图片描述

2.然后查看里面的HEAD文件
我是在安装过程中直接看到了路径
在这里插入图片描述
所以进入HEAD路径:

cd ac471f6d1ebbc8b681f4577e001600d4.web-security-academy.net/.git/logs/HEAD

但发现不行:

最低0.47元/天 解锁文章
anlalu233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见的Web应用的漏洞总结(原理、危害、防御)
anlalu233的博客
02-21 2642
一、 SQL注入 1.原理: SQL注入就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令。 它是利用现在已有的应用程序,将SQL语句插入到数据库执行,执行一些并非按照设计者意图的SQL语句。 2.原因: 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入...
BurpSuit官方实验室之信息泄露
tpaer的博客
11-15 766
这是BurpSuit官方的实验室靶场,以下将记录个人信息泄露共5个Lab的通关过程。
【漏洞利用】信息泄露漏洞详解
weixin_44023442的博客
01-24 8448
参考文章 BurpWeb安全学院之敏感信息泄露 信息泄露漏洞 网络安全web 信息泄露小概 Tag: #信息泄露 Ref:[[002.js信息泄露]] [[002.信息收集/009.信息泄露/001.信息泄露]] 本文仅供交流学习使用! 概述 总结 一、漏洞介绍 信息泄露指网站无意向用户泄露敏感信息.可能包括以下内容: 有关其他用户私密数据的,财务信息,个人身份信息等 敏感的商业数据 有关网站技术细节,架构,如源代码等 二、漏洞原理 信息泄露可能是不慎泄露给浏览该网站信息用户的,也有可能是攻
Lab: Information disclosure in version control history:历史版本信息披露
Zeker62的博客
08-24 505
靶场内容: 该实验室通过其版本控制历史记录披露敏感信息。要解决实验室,请获取administrator用户的密码,然后登录并删除carlos的帐户。 漏洞解析 打开实验室并浏览以/.git显示实验室的 Git 版本控制数据。 下载整个目录的副本。在Linux下,最简单的方法是使用命令wget -r https://your-lab-id.web-security-academy.net/...
代码版本控制 的 文件泄露
diaoqin7781的博客
05-08 388
文件泄露 Git 什么是文件泄露GitHub.git # 攻击者可以通过。 .git 内部文件,能看到很信息.svn.DS_Store.hg.bzrcvsWEB-INF网站备份,zip 、sql、rar、swp、phpinfo GithubGithub是目前全球最热门的在线协作网站,大量的程序员都会在Github上分享自己的代码以及协力进行软件...
PortSwigger Academy | Information disclosure vulnerabilities : 信息泄漏漏洞
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-27 1547
11111111111111
上市公司企业内部控制信息披露.doc
10-07
在【我国上市公司内部控制信息披露问题研究】,以【省积水电子】为例,揭示了我国上市公司在内部控制信息披露上存在的常见问题: 1. **环境氛围不利**:企业内部可能存在不利于内部控制执行的文化氛围,如管理层...
会计方法对会计信息披露的影响.pdf
05-12
综上所述,会计方法在会计信息披露扮演着核心角色。企业应选择合适的会计方法,确保会计信息的完整、准确和透明,以维护市场公平,促进企业的健康发展。同时,改善公司治理结构,完善法规政策,严格执行会计准则,...
(正文)09-04苏宁云商会计信息披露问题研究.zip
09-14
标题的“09-04苏宁云商...然而,这份资料显然对理解苏宁云商的历史会计问题,以及会计信息披露在企业运营的角色提供了深入的洞察。对于会计学学生、研究人员、投资者和企业管理人员来说,都具有较高的参考价值。
并购业务的风险控制.pptx
09-26
尽管尽职调查能帮助揭示诸多潜在问题,但仍存在局限性,如被调查对象的保密需求、时间紧迫性和信息披露要求。为克服这些限制,企业应签订保密协议,制定详尽的尽职调查计划,并确保及时、有序地推进调查工作,遵守...
上市公司会计信息披露问题研究--以阿里巴巴公司为例.docx
最新发布
06-18
当前,部分上市公司的会计信息披露存在着大量冗余或过时的信息,缺乏对关键经营指标的有效披露,使得投资者难以获取有价值的信息来进行投资判断。 **3.1.3 可比性问题** 可比性是指不同企业之间以及同一企业在...
AccessKey泄露利用
anlalu233的博客
06-11 2119
泄露的OSS密钥(阿里云OSS使用前端直传的危害) 由swagger引发的OSS AccessKey泄露 阿里云主机泄露Access Key到getshell
身份验证:2FA 简单旁路(双因素身份验证。已获得有效的用户名和密码,但无权访问2FA 验证码)
anlalu233的博客
08-11 1496
使用已知账号密码登录: 此时为让输入验证码的页面: 单击“电子邮件客户端”按钮: 即: 点击返回实验室: 点击我的账户: 此时是wiener的账户,记下 URL:https://acf71f971f302381800d33d100e200b9.web-security-academy.net/my-account?id=wiener 点击登出注销wiener的账户: 点击我的账户使用受害者 carlos:montoya登录: 在此输入受害者账户验证码的页面将urlhttps://acf71f.
业务逻辑漏洞都有哪些?渗透时参考
anlalu233的博客
04-16 1490
实战:盒子的self-xss(盒子已忽略)
anlalu233的博客
07-05 1221
盒子的self-xss是我在提交一个其他网站的xss时,编辑框输入了xss代码,没想到盒子弹窗了。我惊喜地想没想到盒子自己竟然有洞,然后我兴高采烈地提交了盒子,盒子很快回复了我说该漏洞已知晓,self-xss不存在危害性,故忽略。我一盆凉水浇下来。(小声说:盒子一看到自己平台的洞审核超快,第二天就审核回复我了,而我另一个同时间提交的xss漏洞还没审核emmmm) 图片 ...
暴力破解:破解强力保护、IP 封锁(连续提交 3 次错误登录封IP 的情况下)
anlalu233的博客
08-05 1098
首先制作用户名和密码的字典 制作用户名字典: 我是采用wiener carlos重复100次的方式制作: strings = "wiener\r\ncarlos" # 字符串变量 for i in range(100): print(strings) 制作密码字典: 使用EverEdit 注意先将第一行空着再替换: 替换完后是这样的: 再将空的第一行删掉: 因为网络问题,还是把线程调到1为好,要不然大概率出错 ...
实战:某网站的SQL注入(php+mysql+Apache)
anlalu233的博客
04-24 884
1.列出所有数据库 sqlmap -u “http://www.aaa.com/a.php?id=2” --dbs 2.列出数据库"hailc0218"的所有表 sqlmap -u “http://www.aaa.com/a.php?id=2” --tables -D"hailc0218" 3.列出数据库"hailc0218"表“user”的所有字段 sqlmap -u “http://www...
暴力破解:通过响应时间枚举用户名
anlalu233的博客
08-04 713
突破IP限制:http请求头添加X-Forwarded-For头,将该头的value设置为动态参数变化。 使用正常的用户名和密码登录观察响应时间,使用错误的用户名和密码登录观察响应时间。 当用户名错误时响应时间基本一样,当用户名正常时,随着密码的长度越长响应时间越长。 登录请求拦截发送到Burp Intruder,http请求头添加X-Forwarded-For:192.168.10.1 后面的1添加有效载核 username添加有效载核,password长度设置100个字符以上。 切换到有效载
ABB IRC5控制柜电气回路详解
7. **版本信息和修订历史**:文档的版本信息和修订历史对于跟踪技术更新和解决可能出现的问题至关重要。 8. **法律免责声明**:文档开头的法律声明强调了ABB对此文档内容的权益,并明确了使用文档的风险和责任。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值