CTF技能git文件中的日志漏洞

已于 2022-05-21 16:45:16 修改
阅读量1.3k 收藏 2
点赞数 1
文章标签: git 安全 github
于 2022-05-20 19:40:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/diven2/article/details/124889065
版权

CTF技能git文件中的日志漏洞

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题

原理什么的网上都能搜到,其实做出来的话还是相当简单的。但因为不同系统中githack的配置不同,导致我在windows上花掉了大量的时间去做这个最后也没弄出来。还是推荐使用kali进行操作,windows就不说了我花了一下午都没搞出来,关于git个各种报错简直烦死人。centos没试过不过估计要配安装源,不会的同学免进。

kali之前就安装过,不过忘记了密码想了半天才在网上查到kali所有的从官网上下载的虚拟系统密码都一样的发现是都倒过来的root(所以说虚拟机的密码设置个简单的就可以了),最后附上操作代码

1.首先在kali上下载GitHack 区分大小写

命令: git clone GitHub - BugScanTeam/GitHack: .git 泄漏利用工具,可还原历史版本

2.然后在下载的GitHack目录下用

python GitHack.py url(这儿填有漏洞的网址,也就是CTF题的网址。别跟我一样傻乎乎的直接打个url)/.git下载文件

3.然后跳转地址也就是 cd 下在的文件的地址

4.最后就可以用git log命令查看日志文件了。用git show 显示末尾ctfhub{}文件就是flag

diven2
关注
githack-master.zip
08-26
3. **日志文件扫描**:开发过程生成的日志文件有时会意外地包含敏感信息。GitHack会检查这些文件,防止它们被公开。 4. **版本历史分析**:Git的版本控制系统记录了每一次修改,GitHack会回溯历史提交,查找可能...
CTF之路:git项目本地版本库(.git文件夹)漏洞利用
zw05011的博客
01-08 2989
1.题目 BP监听数据包里有一个flag,base64试了一下,假的。 试试扫描后台目录,用御剑后台扫描珍藏版OK 题干提示用linux,kali linux平台有gobuster(但是扯淡的是2021版本里竟然没有安装) 扫描发现了.git目录,说明存在git本地版本库漏洞,flag就在这里。 2.知识点 git项目本地版本库漏洞利用 wget递归下载 3.解析 #安装gobuster sudo apt install gobuster ​ 使用gobuster对网站后台进行
(Window)GitHack下载安装和使用【CTF工具/渗透测试/网络安全/信息安全
m0_75203410的博客
06-06 5140
GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞
CTFGIT泄露_ctf git泄露
最新发布
2401_86950416的博客
09-07 495
*Githack扫描完后目录下会生成一个dist文件,**
ctfhub web git泄露 svn泄露 hg泄露
mrwangtw的博客
09-03 920
目录 log(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeamGitHack完成本题) Stash(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeamGitHack完成本题) Index(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当
CTFHub 做题记录 GIT泄露
weixin_53203211的博客
08-16 251
GIT备份文件
CTFHub技能树 Web-信息泄露 详解
weixin_45808483的博客
11-11 5734
目录遍历 开始查找 进入到了/flag_in_here文件,依次遍历寻找: PHPINFO 点击查看phpinfo 浏览phpinfo.php,搜索flag 备份文件下载——网站源码 当开发人员在线上环境对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。 查看提示: 我们可以根据文件名和后缀进行查找: 这使用python脚本进行扫描 import requests if __name__ == '...
HackHTTP:一款强大的安全测试工具
gitblog_00001的博客
04-19 387
HackHTTP:一款强大的安全测试工具 项目地址:https://gitcode.com/BugScanTeam/hackhttp 项目简介 HackHTTP 是一个由BugScanTeam开发的开源HTTP客户端,设计用于安全测试和Web应用漏洞扫描。它融合了命令行工具的效率和GUI工具的直观性,为黑客、渗透测试者、安全研究人员提供了一种更便捷的方式来探索和测试目标系统。 技术分析 HackH...
ctf-dc
03-12
文件名称列表】"ctf-dc-master"表明这是项目的主分支或完整版本,通常在Git版本控制系统,"master"是默认分支,表示项目的主线代码。这可能是一个开源项目,包含各种CTF挑战的解决方案、工具集或者教程。 在...
ctfsubmitter:AttackDefense CTF 的提交者
06-09
在攻击/防御型CTF,Redis可能被用作存储标志的地方,或者作为服务的一部分,参赛者需要找到漏洞并利用它们来获取或提交标志。 ctfsubmitter-master这个文件名表明这是一个项目的主分支或源代码库。通常,开源项目...
starctf2021:* CTF2021的官方源代码和内容
03-20
【压缩包子文件文件名称列表】的"starctf2021-main"可能是整个项目的主要代码仓库或目录,通常包括了项目的结构、源码文件、配置文件、挑战描述等。对于分析和学习CTF赛事,这个主文件夹将是关键入口,可以从...
hsctf-2015:为 HSCTF 2015 撰写的文章
06-03
CTF挑战,Java可能涉及到的方面包括代码审计、漏洞利用、反编译和逆向工程等。理解类、对象、继承、多态性、异常处理、IO流、网络编程等核心概念是解决Java相关问题的基础。 2. **Java安全**:在HSCTF 2015,...
CTFGIT泄露
zy_mpy的博客
03-13 1328
由于本人也是一名ctf的萌新,所以笔记比较易懂但又不可避免的浅显,如有错误,欢迎各路大神来指正。先简单介绍一下GitGit是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。发布代码的时候,如果没有把,git这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码,这就引起了git泄露漏洞。处理Git泄露的题目时,需要用到scrabble,dirsearch和gihack三个工具。一、常规git泄露常规 gi
一天一道ctf 第53天(GitHack)
scrawman的博客
08-16 448
[网鼎杯 2018]Comment dirsearch扫目录发现.git泄露,用githack还原git文件。网上lijiejie的那个githack是不能做这道题的,出现如下的GitHack图标的才是真的。 git clone git://github.com/BugScanTeam/GitHack 直接下载下来的源代码文件是不完整的,进入到扫描目录下 git log --reflog git reset --hard e5b2a2443c2b6d395d06960123142bc91123148
CTFHub之 git泄露-log
qq_50556869的博客
11-29 2812
文章目录: 1.git泄露 2.解题流程 3.flag 一、git泄露: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、解题流程: 1.由于之前的ctfhub在git这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeamGitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
ctfhub-web-git泄露(安装githack)-log/stash/index
2301_80162151的博客
02-29 413
先安装githack(git clone https://github.com/BugScanTeam/GitHack)Git本地库的索引Index就是一个二进制文件,默认存储在.git/index路径下。题上给出了提示,需要用到githack,就需要在kali安装githack。dist文件下会生成以url命名的文件,进入文件会发现有一个txt。githack是一个.git脚本泄露,通过文件还原源代码。文件夹会多一个以url命名的文件,cd到文件里,查看一下。查看文件,得到flag。
CTF学习笔记1:git泄露有关知识
lvx++的博客
05-31 1484
一般情况 环境准备 #先进入/var/www/html目录 git init vi flag #新增一个flag文件并保存 git add flag #向仓库增加flag文件 git commit -m "flag" scrabble获取flag 工具:scrabble ./scrabble http://localhost/ #会下载flag文件 需要回滚 修改flag文件 #先进入/var/www/htm目录
CTF-git泄露漏洞
zhoess的博客
06-24 3107
CTF git泄露漏洞前言一、git泄露漏洞 是什么?二、题目三、软件1.git2.读入数据总结 前言 关于CTF git泄露题目的做法之一 一、git泄露漏洞 是什么? 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、题目 三、软件 1.git ‘’’ ‘’’ 代码如下(示例): 2.读入数据 代码如下(示例): data = pd.read_csv( 'https://labfile.oss.al
[WEB] 敏感目录泄露——Git泄露
Landasika的博客
11-28 848
推荐文章: 视频同步笔记:狂神聊Git_狂神说-CSDN博客_狂神说git 【狂神说Java】Git最新教程通俗易懂_哔哩哔哩_bilibili Git简介 一、安装 Windows上安装GitGit官网:https://git-scm.com/ 淘宝镜像(推荐,下载快):http://npm.taobao.org/mirrors/git-for-windows Ubuntu上安装Git: * ubuntu/debian: $ apt-get instal...
git commit 报错
04-24
当使用Git进行提交(commit)时,可能会遇到各种报错。以下是一些常见的Git commit报错及其解决方法: 1. "nothing to commit, working tree clean":这个报错表示当前工作区没有需要提交的更改。确保你在执行commit之前已经对文件进行了修改,并使用了"git add"命令将修改的文件添加到暂存区。 2. "Your branch is ahead of 'origin/master' by X commits":这个报错表示你的本地分支比远程分支超前了X个提交。你可以使用"git push"命令将本地分支的提交推送到远程分支。 3. "Please enter a commit message to explain why this merge is necessary":这个报错表示在合并分支时没有提供合适的提交信息。你需要在合并时使用"-m"参数来添加合并的说明,例如:"git merge branch_name -m 'Merge branch_name'" 4. "error: pathspec 'file_name' did not match any file(s) known to git":这个报错表示指定的文件Git仓库不存在。确保你输入的文件名正确,并且该文件已经被添加到Git仓库。 5. "Your branch and 'origin/master' have diverged":这个报错表示你的本地分支和远程分支有冲突。你可以使用"git pull"命令先将远程分支的更新拉取到本地,然后再进行提交。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值