当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。
先用dirsearch扫描一下,dirsearch用法参见:https://www.jianshu.com/p/5d99bafb1547
此处命令:
python dirsearch.py -u https://www.example.com/ -e php
貌似没有什么有用的内容,试了很多办法,但是返回状态码都是503,这个问题以后在解决,直接用githack工具下载.git文件试试
命令:
python GitHack.py
http://challenge-3d4c39b9798d6730.sandbox.ctfhub.com:10800/.git
查看一下这个文件
再查看一下