CTFHub Web 信息泄露 hg泄露

已于 2022-05-01 14:53:32 修改
阅读量343 收藏
点赞数
分类专栏: CTF学习题 CTFHub题 文章标签: web安全
于 2022-04-30 16:18:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51319369/article/details/124514097
版权

dirsearch 扫描发现/.hg/store/undo
直接访问,在window下载了一个名为“undo”的文件,发现可以直接打开,里面有个.txt,直接访问,找到了flag
在这里插入图片描述
在这里插入图片描述

另一种解法,跟svn泄露一样的做法
在工具dvcs-ripper目录下

./rip-hg.pl -v -u http://challenge-5d8c4aae796c77ee.sandbox.ctfhub.com:10800/.hg/

ls -all 查看目录,发现果然有.hg目录
在这里插入图片描述
cd +目录名,进入.hg目录,(省略了ls -all查看目录)进入store目录,
cat fncache 查看,找到了.txt,访问
(这里不明白的是为什么一定是fncache,明明之前查看的时候显示fncache不是目录)
在这里插入图片描述

在这里插入图片描述

CtfHub-wp(web
01-23
本文主要探讨了CTF(Capture The Flag)竞赛中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
CTFHub 信息泄露
qq_58879949的博客
09-06 1090
手动遍历。
CTFHub | HG泄露
尼泊罗河伯的博客
10-17 3409
这题与之前的题目比较类似,同样使用 dvcs-ripper 工具下载泄露的网站目录,但是使用工具过程中出现了一些错误,导致网站源代码没有完整下载。正如网页显示内容中的提示所说,不好使的情况下,试着手工解决。那么此题目是让我们不要过度依赖工具的使用。使用 tree 命令列出下载到本地目录的所有文件。发现一个可疑的文本文件,查看文本文件发现历史记录中一个新增的 flag 文件。正则搜索相关文件发现可疑文本,使用 curl 命令检查发现此题flag。
CTFHub技能树-信息泄露-HG泄漏
最新发布
m0_74313947的博客
09-11 635
当开发人员使用 Mercurial 进行版本控制,对站点自动部署。如果配置不当,可能会将.hg 文件夹直接部署到线上环境。这就引起了 hg 泄露漏洞。
HG信息泄露检测利用
Fly_鹏程万里
10-20 238
Mercurial(hg)是一种分布式版本控制系统,它与Git类似也可以用于管理代码的版本控制,如果Mercurial服务器的安全措施不当或用户不小心,可能会导致Mercurial源码的信息泄露的问题,而Mercurial源码信息泄露的原理是因为Mercurial服务器上的源代码未被正确保护,导致未经授权的用户可以轻易地访问和下载代码,这可能会导致以下问题暴露源代码:未经授权的用户可以轻易地访问和下载源代码,包括敏感信息,例如密码、API密钥和凭据等。
ctfhub 技能树-web-信息泄露
m0_62207170的博客
03-28 927
ctfhub 技能树-web-信息泄露
HG泄露(Mercurial)
qq_69100706的博客
07-17 485
Mercurial(通常简称为 HG)是一种分布式版本控制系统,用于管理软件源代码或其他文件集的变更历史。当提到“HG 泄露”,我们通常指的是 Mercurial 仓库或其中包含的敏感信息被未经授权的个人或系统访问的情况。:如果 Mercurial 仓库被错误配置为对公众开放,任何人可以通过网络直接访问仓库的内容,这可能导致源代码、注释、提交历史以及可能包含的敏感信息泄露。:在部署网站或应用时,如果 Web 服务器的目录结构配置不当,可能会无意中暴露.hg
CTF信息泄漏.pdf
02-11
### CTF信息泄漏知识点详解 #### 一、概述 在网络安全领域,信息泄漏是一种常见的安全威胁,尤其是在CTF(Capture The Flag)比赛中,考察选手们对于信息泄漏漏洞的识别与利用能力是常有的事情。本文将从源码泄漏...
信息与通信HG本地WEB开通方法.pptx
07-30
信息与通信HG本地WEB开通方法.pptx
HG8240V100R003C01SPC205 Web升级固件
05-09
《华为HG8240与HG8245光猫路由设备Web升级固件详解》 在现代家庭网络中,光猫路由器起着至关重要的作用,它们是连接互联网的桥梁,为用户提供稳定、高速的网络服务。华为作为全球知名的通信设备供应商,其产品线中...
hg19基因位置信息.txt
05-12
UCSC下载的基因位置信息
攻防系列——板块化刷题记录(敏感信息泄露
weixin_43140411的博客
10-29 2203
因为之前通关了两个靶场,说想试一下在线靶场联系一下。其实感觉思路还是很有限。遇到难题可怎么办呜呜
CTFHub-Web-信息泄露-HG泄露
qq_54037445的博客
11-19 486
CTFHub-Web-信息泄露-HG泄露 flag寻找,dvcs-ripper使用
CTFhub信息泄露漏洞实验指导手册
weixin_43401651的博客
09-30 629
环境:Windows2008、Kali Linux靶场:CTFhub-信息泄露工具:浏览器:火狐浏览器抓包改包工具:burpsuite信息泄露漏洞利用工具:dirsearch、GitHack、dvcs-ripper、Nmap。
HG泄露ctfhub
2401_82985722的博客
04-16 983
hg(Mercurial)总结_hg mercurial-CSDN博客Mercurial简介-CSDN博客Mercurial(英文意为水银,所以常被缩写为hg)是一款非常优秀的分布式版本控制系统(DCVS),具有高效率、跨平台、可扩展、使用简便且开源等优点,是目前最为流行的版本控制工具之一。分布式版本控制系统:当源码服务器故障或网络不通时,依然能提交你所做的本地修改。
CTFHub技能树 Web-信息泄露 HG泄露
Senimo
12-22 2068
CTFHub技能树 Web-信息泄露 HG泄露 hit:当开发人员使用 Mercurial 进行版本控制,对站点自动部署。如果配置不当,可能会将.hg 文件夹直接部署到线上环境。这就引起了 hg 泄露漏洞。 启动环境: 其提示了为Mercurial的信息泄露,也就是/.hg泄露 提示flag在服务器端就版本中 有了SVN泄露的经验,直接使用dvcs-ripper下载.hg文件: ./rip-hg.pl -v -u http://xxx.com/.hg 打开.hg文件夹: 查看到其中有last-mes
CTFHub:web前置技能-信息泄露-HG泄露
wdnmddbl的博客
06-07 484
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:文章很详细。
Git泄露hg泄露原理理解和题目实操
Z11762的博客
04-26 1136
Git是一个开源的分布式版本控制系统,它可以实现有效控制应用版本,但是在一旦在代码发布的时候,存在不规范的操作及配置,就很可能将源代码泄露出去。那么,一旦攻击者发现这个问题之后,就可能利用其获取网站的源码、数据库等重要资源信息,进而造成严重的危害。
Mercurial基本操作
yy490146739的专栏
03-28 498
Init是指初始化,也就是创建一个空的仓库 Clone是指创建仓库的复本,创建的来源可以是一个http或ssh链接表示的仓库,也可以是本地仓库 Commit是指提交,即接受所有的改动,将当前版本作为最新版本(也叫tip)。注意这个提交和集中式SCM不同,它只提交的本地仓库,而且本地仓库会 详细记录所有的变动(称为变更集或改动集)。因此不用客气,多提交几次也没关系,因为不影响别人的仓库。
ctfhub HG泄露
09-27
HG泄露漏洞是指当开发人员使用Mercurial进行版本控制,并且在配置不当的情况下,可能会将.hg文件夹直接部署到线上环境,从而导致敏感信息泄露的漏洞。这种配置错误可以使攻击者访问整个代码库的历史记录、分支、标签...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值