ctfhub web git泄露 svn泄露 hg泄露

最新推荐文章于 2024-04-11 20:05:01 发布
最新推荐文章于 2024-04-11 20:05:01 发布
阅读量867 收藏 7
点赞数 1
分类专栏: ctfhub web 信息泄露 文章标签: git svn hg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrwangtw/article/details/120083422
版权
web 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
信息泄露
3 篇文章 0 订阅
订阅专栏
ctfhub
2 篇文章 0 订阅
订阅专栏

目录

log(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题)

Stash(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题)

Index(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题)

svn泄露(当开发人员使用 SVN 进行版本控制,对站点自动部署。如果配置不当,可能会将.svn文件夹直接部署到线上环境。这就引起了 SVN 泄露漏洞。)

HG泄露(当开发人员使用 Mercurial 进行版本控制,对站点自动部署。如果配置不当,可能会将.hg 文件夹直接部署到线上环境。这就引起了 hg 泄露漏洞。)

log(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题)

打开网站后,用direarch扫描网站,发现git泄露

 

 

 进入githack->dist->网站url,右键打开gitbash,输入git log

发现flag在commit 2249,输入git diff +commit序列号得到

 flag就得到了

Stash(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题)

步骤同上,使用dirsearch扫描发现git泄露,然后githack,进入dist中网站文件夹,右键打开gitbash,输入git stash list 发现有stash,然后输入git stash pop,可以发现在文件夹里出现一个txt文件,打开之后就出现了flag

 

git stash list命令是列出stash

git stash pop命令是恢复到上次改动

Index(当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题)

同上,dirsearch扫描,githack,进入文件夹,之后git log

 打开txt文件即可看到flag

svn泄露(当开发人员使用 SVN 进行版本控制,对站点自动部署。如果配置不当,可能会将.svn文件夹直接部署到线上环境。这就引起了 SVN 泄露漏洞。)

打开网站发现

 然后用dvcs-ripper工具(kali),输入命令./rip-svn.pl -v -u http://challenge-f17db33540385561.sandbox.ctfhub.com:10800/.svn

 

 

 

 

得到flag

HG泄露(当开发人员使用 Mercurial 进行版本控制,对站点自动部署。如果配置不当,可能会将.hg 文件夹直接部署到线上环境。这就引起了 hg 泄露漏洞。)

跟svn泄露差不多,不这次使用的是dvcs里的hg工具

 

 发现一个txt文件,放在url里面打开

发现flag 

 

mrwangtw
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFHub 做题记录 GIT泄露
weixin_53203211的博客
08-16 210
GIT备份文件
CTF技能git文件中的日志漏洞
diven2的博客
05-20 1307
CTF技能git文件中的日志漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题 原理什么的网上都能搜到,其实做出来的话还是相当简单的。但因为不同系统中githack的配置不同,导致我在windows上花掉了大量的时间去做这个最后也没弄出来。还是推荐使用kali进行操作,windows就不说了我花了一下午都没搞出来,关于git个各种报错简直烦死人。cento
信息泄露(二)
最新发布
2302_80935968的博客
04-11 653
curl 是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。它的功能非常强大,命令行参数多达几十种。如果熟练的话,完全可以取代 Postman 这一类的图形界面工具。如果在一个curl命令中不指定具体的方法,那么默认的就是使用GET方法。curl 命令详解_curl命令-CSDN博客正则匹配详解-CSDN博客。
(Window)GitHack下载安装和使用【CTF工具/渗透测试/网络安全/信息安全】
m0_75203410的博客
06-06 3614
GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。
CTFHub技能树 Web-信息泄露 详解
weixin_45808483的博客
11-11 4916
目录遍历 开始查找 进入到了/flag_in_here文件树中,依次遍历寻找: PHPINFO 点击查看phpinfo 浏览phpinfo.php,搜索flag 备份文件下载——网站源码 当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。 查看提示: 我们可以根据文件名和后缀进行查找: 这使用python脚本进行扫描 import requests if __name__ == '...
CTFHub——Web前置技能——信息泄露——git
weixin_45871855的博客
11-14 1205
get泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 打开环境 http://challenge-d043310a994a68c6.sandbox.ctfhub.com:10080/ 用御剑扫描,只扫描出 URL/index.html 所以我们用另外的扫描工具 dirsearch 来扫描 安装及使用方法(转载) ...
mfw 攻防世界web题 (Git泄露
一醉一休的博客
02-23 1164
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 一、mfw 1)点开,没发现什么有用的 2)继续 3)发现有Git,可能是Git泄露,直接/.git 4)一个个点看看,在index中,ps打开 <?php if (isset($_GET...
githack泄露利用_softlysu3_ctfgithack_githack_CTF之.git泄露_githack下载_
10-03
GitHack 是一个针对 `.git` 目录泄露的利用工具,主要用于网络安全竞赛(CTF,Capture The Flag)中的Web安全领域。`.git` 目录是Git版本控制系统的一部分,通常包含项目的完整历史记录和敏感信息,如源代码、配置...
svn_git_scanner:用于扫描gitsvn泄露
05-19
用于全球svngit信息泄露扫描,基于多线程,带宽控制,代理线程池支持
gitsvn学习入门教程
05-05
Git和Subversion(SVN)都是版本控制系统,用于跟踪和管理软件开发中的代码变更。它们在代码管理和协作方面发挥着至关重要的作用。本教程将帮助初学者了解这两者的基础知识,以便选择适合自己的工具。 首先,让我们...
Git-SVN面试题,都是来自工作中的笔记
07-01
Git-SVN面试题,都是来自工作中的笔记
IDEA 2020 设置项目集成gitsvngit之间的切换问题
10-14
主要介绍了IDEA 2020 设置项目集成gitsvngit之间的切换问题,本文通关图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
vscode添加GITSVN的方法示例
10-15
在开发环境中,版本控制工具是不可或缺的,Visual Studio Code (VSCode) 作为一个强大的源代码编辑器,提供了集成Git和Subversion(SVN)的功能。本文将详细介绍如何在VSCode中添加和配置这两种版本控制系统。 ### ...
git_svn.rar
08-17
GitSVN 是两种广泛使用的版本控制系统,它们在软件开发中起着至关重要的作用,帮助团队协同工作并跟踪代码的历史变化。Git 是一个分布式版本控制系统,而 SVN(Subversion)是集中式版本控制系统。以下是关于 ...
gitsvn 代码版本管理工具所有合集.7z
11-04
GitSVN(Subversion)是两种广泛应用的版本控制系统,而Sourcetree和TortoiseSVN/TortoiseGit则是它们的图形化客户端,使得操作更为直观和便捷。下面我们将详细探讨这些工具的功能、使用场景和优势。 1. Git: ...
gitsvn的使用, 安装gitsvn, git上传项目, 拉取项目, idea集成git, idea集成svn
09-21
GitSVN是两种常用的版本控制系统,用于管理软件开发中的代码变更历史。它们都有各自的优点和适用场景,但在现代开发环境中,Git更为流行。本文将详细介绍如何安装GitSVN,以及如何在IntelliJ IDEA(简称idea)中...
CTFHub | HG泄露
尼泊罗河伯的博客
10-17 2904
这题与之前的题目比较类似,同样使用 dvcs-ripper 工具下载泄露的网站目录,但是使用工具过程中出现了一些错误,导致网站源代码没有完整下载。正如网页显示内容中的提示所说,不好使的情况下,试着手工解决。那么此题目是让我们不要过度依赖工具的使用。使用 tree 命令列出下载到本地目录的所有文件。发现一个可疑的文本文件,查看文本文件发现历史记录中一个新增的 flag 文件。正则搜索相关文件发现可疑文本,使用 curl 命令检查发现此题flag。
CTFHub | Log
尼泊罗河伯的博客
10-07 1412
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。因为对工具的不熟悉,且也不太了解 Git泄露漏洞。此题主要参考官方 writeup 来完成。
git信息泄露漏洞
jelly
07-27 9395
git泄露漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 Git介绍 Git作为大家熟悉的,深受欢迎的版本控制工具,和其他同类工具有很多不同之处: Git始终保存快照而不是文件差异。 任何数据存储前始终使用SHA-1计算校验和,保证内容完整性。 使用分布式仓库设计,让大多数
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py http://challenge-e87e0210287ba7b3.sandbox.ctfhub.com:10800/.git/"来使用GitHack工具进行扫描和利用。同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,这些工具只是为了帮助你快速发现ctfhub-git泄露,真正的挖掘过程并不会像这样直接告诉你哪里有泄露,需要自己去尝试和探索。此外,Git这一工具的使用也相当复杂,需要深入学习和实践才能熟练掌握。所以,在学习的道路上还有很长的路要走,希望你能坚持学习,共同进步!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值