.git文件泄露

最新推荐文章于 2024-04-26 17:25:16 发布
最新推荐文章于 2024-04-26 17:25:16 发布
阅读量4.6k 收藏 5
点赞数 2
分类专栏: BUU
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46635165/article/details/109870250
版权

  • 知识点

  • git文件泄露 详情

  • 简述.git文件导致的源码泄露
    .git文件是开发人员在开发过程中使用 Git(分布式版本控制系统)做开发时产生的隐藏目录,该文件包含一些版本信息和网站源码,数据库信息等敏感信息。

  • 原理利用
    1、通常开发人员在开发时,通常将源码提交到远程的托管网站(如Github)方便管理与交互,等到开发最后阶段,再将源码从远程服务器上下载到 web 目录下, 如果开发人员忘记将其中的 .git文件删除,则可以通过 .git文件恢复网站源码,来获取一些敏感信息;
    2、开发人员对站点使用 Git 对版本进行控制,实现自动部署,如果配置不当,直接将 .git文件加载到线上环境,这样便引起了.git文件泄露。

解题:
打开题目,直接提示 .Git 文件泄露:

在这里插入图片描述
所以我们在linux环境下,使用 GitHacker 来获取 .git文件;
获取 GitHacker 工具包:
git clone https://github.com/WangYihang/GitHacker.git

cd GitHacker
下载 .git 文件并使用python脚本自动恢复该目录下的文件:
python GitHacker.py http://6c7e2a80-81d9-4ac0-a658-d349a99b5b43.node3.buuoj.cn/.git/
下载恢复成功:得到一个 6c7e2a80-81d9-4ac0-a658-d349a99b5b43_node3_buuoj_cn_ 文件:
在这里插入图片描述
cd 6c7e2a80-81d9-4ac0-a658-d349a99b5b43_node3_buuoj_cn_

发现一个index.html,使用 grep 查找字符串即可得到flag (或者复制到主机使用浏览器打开):
grep { index.html

在这里插入图片描述

我在干饭
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
git泄露
2401_82388450的博客
04-16 1559
git log --pretty=oneline //加参,简洁查看$ git reflog //查看每一次修改历史$ cat test.txt //查看文件内容$ git status //查看工作区中文件当前状态。
Git泄露_Log
Mr_admin的博客
09-23 1996
刚开始的时候不知道git命令,直接百度。做后确定命令格式为:python2 GitHack.py http://challenge-4e45df1c40b42551.sandbox.ctfhub.com:10800/.git/当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。我用的是新版kali环境做的题目(kali日期为2022-3,这个版本安装了python2和python3。后面使用命令要注意,我在这里踩坑了。先是捣鼓git软件怎么使用。
Git泄露和hg泄露原理理解和题目实操
最新发布
Z11762的博客
04-26 924
Git是一个开源的分布式版本控制系统,它可以实现有效控制应用版本,但是在一旦在代码发布的时候,存在不规范的操作及配置,就很可能将源代码泄露出去。那么,一旦攻击者发现这个问题之后,就可能利用其获取网站的源码、数据库等重要资源信息,进而造成严重的危害。
git泄露工具 githacker安装 + linux把可执行命令添加到环境变量中
ShenZ的博客
09-07 2950
工具地址:https://github.com/WangYihang/GitHacker 1.安装 pip3 install GitHacker 2.将GitHacker可执行命令添加到环境变量 find命令可以发现GitHacker命令在/home/[username]/.local/bin/githacker 以下用户名都以p3代替 (1)创建软连接 cd /usr/sbin //创建软连接放到 /usr/bin 或者 /usr/sbin 目录下 ln -s /home/p3/.local/bi
Git泄露
weixin_53150482的博客
07-17 1376
Git泄露
GitHacker::spider_selector:一个Git源泄漏利用工具,可还原整个Git存储库,包括来自存储的数据,用于白盒审核和开发人员的思想分析
02-02
吉特·哈克 描述: This is a multiple threads tool to detect whether a site has git source leaks, and has the ability to download the site source to the local This tool can even be in. Git directory is prohibited when access to the use of loopholes It is worth mentioning that this tool will be, git directory completely simulated to the local rather than tools such as [githack] just simply restore to the latest version so that you can view the developer's submission history as well as submit the
如何利用.git文件夹下载整个网站泄漏的源码
公众号shadow sock7
10-29 2765
参考: https://www.jianshu.com/p/edae09535ea3 完整命令: wget -r -p -np -k http://www.xxx.com/.git/ #先递归批量下载.git目录 git log #查看网站的提交记录 git reset --hard [log hash] #恢复到指定版本号 其中--recursive(递归) -k, --convert-lin...
dumpall:一种信息泄漏利用工具,适用于.git.svn源代码泄漏和.DS_Store泄漏
03-24
of_the_horns: 特征支持多种泄漏情况利用Dumpall使用方式简单使用asyncio异步处理速度快适用于以下场景: .git源代码泄漏 .svn源代码泄漏 .DS_Store信息泄漏目录列出信息泄漏去做:支持更多利用方式优化大文件下载...
githack泄露利用_softlysu3_ctfgithack_githack_CTF之.git泄露_githack下载_
10-03
GitHack 是一个针对 `.git` 目录泄露的利用工具,主要用于网络安全竞赛(CTF,Capture The Flag)中的Web安全领域。`.git` 目录是Git版本控制系统的一部分,通常包含项目的完整历史记录和敏感信息,如源代码、配置...
拼字游戏:从远程服务器恢复.git文件夹的简单工具
02-03
4. **重建.git文件夹**:一旦找到足够的碎片,Scrabble会尝试按照Git的内部结构重新组织这些文件,创建一个新的.git文件夹。 5. **验证恢复**:恢复完成后,你可以使用常规的Git命令检查新创建的.git文件夹是否能够...
gitrip:利用公共可读.git *的示例
05-01
利用可读的/.git/*开发应用程序的/.git/* #如何使用克隆仓库git clone https://github.com/RonnieSkansing/gitrip gitrip 在示例文件夹中,将..git移至.git mv example/..git example/.git 在示例文件夹的根目录中...
git泄露查询
10-31
github的泄露信息进行检索查询,可以用于信息收集,资产探测。
Git_Extract.zip
09-26
"Git_Extract.zip" 是一个工具包,专为处理Git文件泄露情况设计,它可以帮助安全专家和开发人员从Web目录中恢复或下载那些可能未被删除的隐藏`.git`目录。这个基于Python3的工具对于理解和防止Web安全攻击至关重要。...
探秘 GitHacker:解锁 GitHub 潜力的新工具
gitblog_00046的博客
03-26 732
探秘 GitHacker:解锁 GitHub 潜力的新工具 项目地址:https://gitcode.com/WangYihang/GitHacker GitHacker 是一个由开发者 WangYihang 创建的开源项目,其目标是帮助用户更高效地利用和探索 GitHub 的功能。通过提供一系列实用的特性,GitHacker 可以让你在 GitHub 上的工作和学习变得更加便捷。让我们一起深入了...
Git信息泄露原理解析及利用总结
m0_61506558的博客
09-01 1047
Git是一个可以实现有效控制应用版本的系统,但是在一旦在代码发布的时候,存在不规范的操作及配置(如下1-2),就很可能将源代码泄露出去。
由一道CTF信息泄露题而引发的对git命令的再次温习
xiaotaode2012的专栏
08-17 6003
0x00写在前面的话 好久没有GIT了,git 功能强大,但是因为现在不要做项目所以基本开始没怎么用了。 0x01信息泄露 有的时候运维或者说是部署人员工,当然也有可能是开发人员在打包项目的时候将。git也打包了而引起了,git的信息泄露,关于常用的其他信息泄露,各位看官可自行Google or 百度。这里贴一下git信息泄露利用的python脚本。下载完了之后利用python执行,pyth
githacker安装使用
szhangliwenya的博客
04-03 385
githack下载不了文件,换个工具!然后kail中进入GitHacker。
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 354
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
.git 泄露
weixin_34409741的博客
11-19 705
等待笔记。。。 转载于:https://www.cnblogs.com/AardWolf/p/9986536.html
config.json文件下载
12-26
config.json文件是一个常用的配置文件,用于存储程序或系统的配置信息。它通常包含了一些关键的...请注意,config.json文件可能包含一些敏感信息,比如密码或私钥,因此要妥善保管和使用这个文件,避免泄露敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值