Git泄露(CTFHUB的git泄露)

已于 2024-05-09 22:25:15 修改
阅读量815 收藏 24
点赞数 34
文章标签: git
于 2024-05-09 22:22:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ndjnddjxn/article/details/138629402
版权

log

当dirsearch 扫描一下,命令:

python dirsearch.py -u  url/.git   发现存在了git泄露

借助kali里面,打开GitHack所在的目录,然后

输入:

python2 GitHack.py -u url/.git/

必须要用Python2

tree 命令  可以看到完整目录

接下来,输入

git diff HEAD^

 Stash

同样步骤后

输入 git stash list

输入 git stash pop

最后cat一下

index

跟上面的步骤差不多

知识点:

      1.什么叫做git泄露?

     git泄露指的是开发人员在开发过程中遗忘删除 .git 文件夹,导致攻击者可以通过 .git 文件夹中的信息获取开发人员提交过的所有源码。从而导致服务器被攻击沦陷。

      2.git泄露原理

    通过泄露的.git文件夹下的文件,还原重建工程源代码

    解析.git/index (index 这个文件就是我们后面提到的暂存区(stage),是一个二进制文件)文件,找到工程中的所有

      去 .git/objects/(objects 所有的Git对象都会存放在这个目录中,对象的SHA1哈希值的前两位是文件夹名称,后38位作为对象文件名)  文件夹下下载 对应的文件

  zlib解压文件,按原始的目录结构写入源代码    

    在git中,这些对象存储文件都是通过zlib进行压缩的,所以我们可以使用zlib将其解压出来,来看看这个文件里面存储的内容是什么:

解压代码如下:

import zlib
import requests
urla = "解压文件地址"
re = requests.get(urla)
ss = re.content
word = zlib.decompress(ss)
print(word)


 

3.   ./git

   使用git init初始化git仓库的时候,会生成一个.git的隐藏目录,git会将所有的文件,目录,提交等转化为git对象,压缩存储在这个文件夹当中。

利用  dirsearch鉴别git泄露就是利用这个原理

 4.git的基本命令和git库工作原理

git init

新建一个文件夹,初始化一个空的git仓库

git add

将工作目录中对文件的修改或新增添加到暂存区(stage)。git被通知要追踪文件的修改

git commit

将暂存区的文件提交到版本库中,永久保存

git status

查看git库中文件的状态。已经被修改的文件,暂存的文件,未被跟踪的文件

tree

以树状图的形式列出目录的所有内容

创建一个文件,并用git add追踪它,再用git commit提交

git log

查看所有的提交数据

git ls-files -u

显示冲突的文件,-s是显示标记为冲突已解决的文件

git diff

对比工作区和stage文件的差异

git diff -cached

对比stage和branch之间的差异

git ls-files -stage

检查保存在stage的文件

git reset -hard HEAD

放弃工作区和index的改动,HEAD指针(这个文件包含了一个档期分支(branch)的引用,通过这个文件Git可以得到下一次commit的parent)仍然指向当前的commit

git checkout 

恢复被修改的文件

git reflog
查看回滚之前的版本

git stash

保存当前工作目录的临时状态

git stash save  “message”

将保存到当前工作目录状态到一个新的stash,并添加一条可选的消息来描述stash的内容

git stash list

查看当前保存的stash列表

git stash show

查看最新的stash

git stash apply

将某个stash的变更应用到当前工作目录

git stash  pop

与git stash apply相似,但是应用完后删除

git stash --all

保存所有修改

ndjnddjxn
关注
  • 34
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfhub 技能树 信息泄露 git泄露
haoxue__的博客
04-04 3268
ctfhub 技能树 信息泄露 git泄露 知识学习 git log 命令用于显示提交日志信息。 git show 命令用于显示各种类型的对象。 git stash list 当要记录工作目录和索引的当前状态,但想要返回到干净的工作目录时,则使用git stash。 该命令保存本地修改,并恢复工作目录以匹配HEAD提交 这个命令所储藏的修改可以使用git stash list列出 git stash pop 从git栈中获取到最近一次stash进去的内容,恢复工作区的内容.获取之后,会删除栈中对应的st
ctfhub-Git泄露
2202_75317918的博客
03-28 1048
ctfhub-git泄露
CTFHUB中的git泄露
kllwlick的博客
03-07 3111
这里写自定义目录标题CTFHUB上的git泄露题目 CTFHUB上的git泄露题目 自己在刷CTFHUB上的题目时,遇到三道git泄露的题目,同时也第一次使用GitHack来解题,以下是题目的解法。 1.安装GitHack工具,这里推荐使用git clone的方法,在终端下输入命令git clone https://github.com/BugScanTeam/GitHack即可 2.使用GitHack来对网站进行扫描,首先打开GitHack的安装目录,然后使用python GitHack.py+网址+.
CTFHUBGIT泄露
m0_56988395的博客
03-03 2047
目录 1、Log 2、Stash 3、Index 1、Log 使用dirsearch扫一下 python3 dirsearch.py -u http://challenge-e19c73ec65497ff1.sandbox.ctfhub.com:10800/ -e * 发现有git泄露,这里建议可以先学习一下Git命令 利用scrabble-master克隆下来看看 ./scrabble http://challenge-e19c73ec65497ff1.sandbox.ctf
CTFHUB -web-Git信息泄露
最新发布
2301_76815548的博客
04-26 851
注意GitHck要在python2 的环境下而开本生自带,上面的dirsearch在python3的环境下,而kail也有python3 的环境,所以用的时候要指明用python2,不然会报错。安装dirsearch---apt-get install dirsearch。先用管理员权限进行跟新------apt-get update。----.在命令行输入sudo passwd root-git reset --hard<分支名>addflag。----按照提示操作就可以设置新的root密码。
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境0x00 前言CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。0x01 搭建环境使用CTFhub中的环境的前提条件需要在本地...
githack泄露利用_softlysu3_ctfgithack_githack_CTF之.git泄露_githack下载_
10-03
非常好的ctf小工具帮助你打比赛。。。。。
Githack(Git泄露利用必备工具)
07-09
这就引起了git泄露漏洞。 GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。 Git信息泄露的危害很大,渗透测试人员、攻击者,可直接从源码获取敏感配置信息(如:邮箱,数据库),也可以...
GIT HUB 2.18.0-64-BIT
09-05
GITHUB安装包。。
Git信息泄露-01ppt
09-15
Git信息泄露 Git是一种开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。通过Git init命令可以创建一个仓库。Git仓库中包含了项目的所有版本记录,包括代码文件、配置文件、日志文件...
CTFHub-ctfhub-Git泄露-Log
wrypot的博客
05-18 724
win+R输入cmd一步步进入到目录E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800来到目录后使用git log查看目录git log最后git show展示一下拿到key总结前期却什么python库,就补上git ssh key配置不能少祝师傅们都能够顺利解决!
CTFHub-Git泄露-Log
good good study
05-11 1004
git是一个版本控制工具,通过泄露的.git文件可还原代码题目如下。
CTFHubgit泄露-log
qq_50556869的博客
11-29 2736
文章目录: 1.git泄露 2.解题流程 3.flag 一、git泄露: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、解题流程: 1.由于之前的ctfhubgit这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeam的GitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
CTFHub - 信息泄露 -- Git泄露
m0_52920608的博客
01-24 2376
CTFHub 信息泄露 Git泄露
CTFHub-Web-信息泄露-Git泄露
qq_54037445的博客
11-18 3182
CTFHub-Web-信息泄露-Git泄露 Log、Stash、Index
始章——ctfhub git泄露-log
qq_50315893的博客
01-08 289
git泄露-log 目录扫描工具-dirsearch 下载dirsearch git clone https://github.com/maurosoria/dirsearch 进入虚拟机使用dirsearch进行扫描,先进入dirsearch目录 扫描命令 python3 dirsearch.py -u <url> -e * 使用githack工具处理git泄露情况,同样首先进入githack目录 python2 GitHack.py <url.git> 这里要记
[CTFHub]Log(web>信息泄露Git泄露)——详细解析
ZXW_NUDT的博客
05-06 5100
不得不说这个东西的话,做了挺久的,接下来我把详细过程在这里跟大家分享一下 我已经把这道题用到的两个可以使用的东西上传到了这里,可以下载一下: Dirsearch GitHack 下载完成以后可以直接从Windows中直接把GitHack拖进虚拟机(KALI)中,可以放在KALI的桌面上 然后点击右键,选择“在此解压”↓ 然后就会得到一个文件夹↓ 打开文件夹,复制一下文件夹的位置↓ 然后打开终端,在终端中进入该文件夹的视图↓ 然后输入一下代码↓ python GitHack.py <URL&.
git泄露 svn泄露
10-13
这两个都是代码版本控制工具的泄露问题,但是 git 和 svn 有一些不同之处。Git 是分布式版本控制系统,而 SVN 是集中式版本控制系统。因此,Git 泄露可能会导致更广泛的数据泄露,因为每个人都可以拥有完整的代码库。而 SVN 泄露则可能会更容易被控制,因为只有一个中央代码库。 无论是 Git 还是 SVN 泄露,都可能会导致敏感信息泄露,例如密码、API 密钥、私人密钥等。这些信息可能会被黑客用于攻击或盗窃身份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值