在开发提交代码或打包项目的过程中,如果配置不当,可能会将.git文件夹直接部署到线上环境。这就可能会引起git泄露漏洞。
已知泄露的网址,首先我们需要找到.git文件,先对网站的目录信息比对字典进行扫描。
扫出.git文件直接放在了根目录下面,直接打出gg。利用GitHack将.git下载到本地
进入到下载好的本地文件。由于.git是隐藏文件 需要通过ll/ls -a全查的指令进行搜索
使用git命令获取需要的内容,这里使用git log获取提交记录为例
通过git diff对比版本差异 就能获取到flag的值
到这里已经证明了此漏洞的危害,在使用git的过程中需要注意以免泄露重要信息。