CTF技能git文件中的日志漏洞
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题
原理什么的网上都能搜到,其实做出来的话还是相当简单的。但因为不同系统中githack的配置不同,导致我在windows上花掉了大量的时间去做这个最后也没弄出来。还是推荐使用kali进行操作,windows就不说了我花了一下午都没搞出来,关于git个各种报错简直烦死人。centos没试过不过估计要配安装源,不会的同学免进。
kali之前就安装过,不过忘记了密码想了半天才在网上查到kali所有的从官网上下载的虚拟系统密码都一样的发现是都倒过来的root(所以说虚拟机的密码设置个简单的就可以了),最后附上操作代码
1.首先在kali上下载GitHack 区分大小写
命令: git clone GitHub - BugScanTeam/GitHack: .git 泄漏利用工具,可还原历史版本
2.然后在下载的GitHack目录下用
python GitHack.py url(这儿填有漏洞的网址,也就是CTF题的网址。别跟我一样傻乎乎的直接打个url)/.git下载文件
3.然后跳转地址也就是 cd 下在的文件的地址
4.最后就可以用git log命令查看日志文件了。用git show 显示末尾ctfhub{}文件就是flag