CTF学习笔记1:git泄露有关知识

最新推荐文章于 2024-04-26 17:14:00 发布
最新推荐文章于 2024-04-26 17:14:00 发布
阅读量1.1k 收藏 9
点赞数 4
分类专栏: CTF 文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lifeng_dc/article/details/117410279
版权

目录

一、环境准备

(一)服务端和测试端虚拟机安装

1.下载并安装Ubuntu Server(过程略)

gdm3 start   #启动桌面并登录
ifconfig	 #查看ip

在这里插入图片描述

2.下载并安装KaliLinux(过程略)

在这里插入图片描述

(二)在Ubuntu Server上安装宝塔面板

宝塔面板官网下载:https://www.bt.cn/download/linux.html

wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh

安装成功!
在这里插入图片描述

(三)在另一台虚拟机中访问并完成相关组件安装:

在这里插入图片描述

二、一般情况

(一)初始化git仓库

先在宝塔面板中建一个网站
站点域名:bt.local (在KaliLinux虚拟机中修改/etc/hosts文件,将其指向Ubuntu Server)
在这里插入图片描述

#先进入/var/www/html目录
git init
vi flag                        #新增一个flag文件并保存
git add flag                   #向仓库增加flag文件
git commit -m "flag"

(二)scrabble获取flag

工具:scrabble

./scrabble http://localhost/     #会下载flag文件

三、需要回滚

(一)修改flag文件

#先进入/var/www/htm目录
vi flag                   #修改flag文件并保存
git add flag
git commit -m "change"

(二)回到上一版

./scrabble http://localhost/
git reset --hard HEAD^

也可用git log --stat和git diff HEAD commit-id查看和比较

git log --stat
git diff HEAD flag

四、git分支(默认master)

工具:GitHacker、python

(一)新建dev分支

git checkout -b dev
touch flag
echo "flag{flag_in_branch_dev}" > flag
git add flag
git commit -m "dev"

(二)切换回master分支

git checkout master
echo "Where is flag?" > flag
git add flag
git commit -m "flag"

(三)获取flag

sudo apt install python3-pip                            #安装pip3
pip3 install GitHacker                                  #安装GitHacker
githacker --url http://localhost/.git/ --folder result  #获取所有分支到result目录下
cd result
cat flag
git reflog
git checkout dev

五、其他

.git/config文件夹可能有access_token信息,泄露用户其他仓库信息

六、git相关命令

git checkout -b ??       #新建工切换分支
git checkout ??          #切换分支
git branch -a            #查看所有分支
git branch               #查看当前分支
lf_x
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-git泄露漏洞
zhoess的博客
06-24 2967
CTF git泄露漏洞前言一、git泄露漏洞 是什么?二、题目三、软件1.git2.读入数据总结 前言 关于CTF git泄露题目的做法之一 一、git泄露漏洞 是什么? 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、题目 三、软件 1.git ‘’’ ‘’’ 代码如下(示例): 2.读入数据 代码如下(示例): data = pd.read_csv( 'https://labfile.oss.al
CTF之路:git项目本地版本库(.git文件夹)漏洞利用
zw05011的博客
01-08 2861
1.题目 BP监听数据包里有一个flag,base64试了一下,假的。 试试扫描后台目录,用御剑后台扫描珍藏版OK 题干提示用linux,kali linux平台有gobuster(但是扯淡的是2021版本里竟然没有安装) 扫描发现了.git目录,说明存在git本地版本库漏洞,flag就在这里。 2.知识git项目本地版本库漏洞利用 wget递归下载 3.解析 #安装gobuster sudo apt install gobuster ​ 使用gobuster对网站后台进行
Git远程仓库使用方法(非常详细),从零基础入门到精通,看完这一篇就够了_git仓库
最新发布
m0_54903333的博客
04-26 1137
遵循平台提供的说明,创建一个空的仓库并获取远程仓库的URL(通常以.git结尾)。
CTFHub之 git泄露-log
qq_50556869的博客
11-29 2742
文章目录: 1.git泄露 2.解题流程 3.flag 一、git泄露: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、解题流程: 1.由于之前的ctfhub在git这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeam的GitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
ctfhub-Git泄露
2202_75317918的博客
03-28 1049
ctfhub-git泄露
CTF中的GIT泄露_ctf git泄露,面试必会
2401_84164527的博客
04-09 781
Python编程学习学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
泄露利用测试脚本:GitHack
12-17
GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
PicoCTF2021:Git du CTF PicoCTF版本2021
04-05
需要一些组装1 需要一些组装2 逆向工程 转型 速度和进给 法证 资讯资讯 娃娃娃 Wireshark doo dooo doo… 一般技能 听话的猫 Python争吵 挥旗 尼斯网猫 静电并不总是噪音 Tab,Tab,Attack Magikarp地面任务
githack泄露利用_softlysu3_ctfgithack_githack_CTF之.git泄露_githack下载_
10-03
非常好的ctf小工具帮助你打比赛。。。。。
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
[ctf]git的基本操作
qq_37301470的博客
11-19 212
Git用法 git工作目录&资源的四种状态 工作目录 - working directory - 文件状态:untracked - git --add -u 暂存区 - stage/index - 文件状态:staged - git --commit 资源库 - repository/git directory - 文件状态:unmodified - git --push 远程仓库 - remotre directory - 文件状态:modified git con
CTF技能git文件中的日志漏洞
diven2的博客
05-20 1302
CTF技能git文件中的日志漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题 原理什么的网上都能搜到,其实做出来的话还是相当简单的。但因为不同系统中githack的配置不同,导致我在windows上花掉了大量的时间去做这个最后也没弄出来。还是推荐使用kali进行操作,windows就不说了我花了一下午都没搞出来,关于git个各种报错简直烦死人。cento
CTF_comment_git泄露&&二次注入_wp
shelter1234567的博客
05-20 459
git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。攻击者可以利用该漏洞下载git文件夹里的所有内容,如果文件内有敏感信息比如站点源码、数据库账户密码等,攻击者可能通过收集到信息攻击该服务器........
CTFgit源码泄露
qtL0ng的博客
04-06 4996
CtfHub----Git泄露 Log 下载源码: 命令记录: $ git reflog # 显示当前分支的最近几次提交 $ git show [commit] # 显示某次提交的元数据和内容变化 $ git log # 显示当前分支的版本历史 $ git reset --hard [commit] # 重置当前分支为指定commit,与指定commit一致 解法一: 解法二: Stash git stash是git一个很有用的命令,它的作用是把当前未提交的修改暂存起来
CTFHUB 信息泄露
wwwwyyyrre的博客
04-15 276
打开题目点击寻找flag有4个目录 既然是目录遍历 就先一个一个找找看在这里找到了flag.txt 得到flag。
CTFgit源码泄露和代码审计
weixin_52450702的博客
01-19 2186
一道ctf题目中的学习git泄露、源码获取与函数绕过学习
CTF:信息泄露.(CTFHub靶场环境)
网络安全领域___专研者.
07-31 2911
“ 信息泄露 ” 是指网站无意间向用户泄露敏感信息,泄露了有关于其他用户的数据,例如:另一个用户名的财务信息,敏感的商业 或 商业数据 ,还有一些有关网站及其基础架构的技术细节 等泄露信息。泄露敏感的用户或业务数据的危险相当明显,但是泄露技术信息有时可能同样严重,尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他的漏洞。
ctfhub中Git泄露-log
weixin_50683638的博客
11-23 2856
WP——ctfhub中git泄露 题目如下: 1.标题提醒log(git目录下的过去日志),使用工具dirsearch(Windows本机)和githack(kali中),进入dirsearch目录下运行cmd, https://github.com/BugScanTeam/GitHackGitHack下载地址,将压缩包拖进kali python dirsearch -u <url> -e * 扫描中看到有git目录,用GitHack扫描目录。 在kali中用githack查看.git
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值