CTFhub-Git泄露题目(log)

已于 2022-04-07 17:58:19 修改
阅读量4.6k 收藏 1
点赞数
文章标签: web安全
于 2022-04-07 17:57:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50605865/article/details/124022039
版权
本文介绍了如何利用Kali虚拟机和GitHack工具进行CTF挑战。通过访问提供的URL,使用dirb进行扫描,然后在Python环境中运行GitHack获取.git目录。在处理Python版本问题后,通过git diff比较不同版本,最终找到并分析了git日志,揭示了被添加和删除的flag。通过这种方式,作者成功地从隐藏的文件中提取出了关键信息。
摘要由CSDN通过智能技术生成

这里用到的工具有:
1、kali虚拟机一台
1、GitHack工具一个,在Github上找的,附上链接:
https://github.com/BugScanTeam/GitHack
在根目录这里我们新建一个文件夹AA
把我们的GitHack工具放到这里
然后开始做题
我们打开环境,得到一个url
我的是http://challenge-1a54bf1fa0482920.sandbox.ctfhub.com:10800/
OK首先第一步
dirb 先跑起来在这里插入图片描述

然后我们在另一个窗口,同样的进入GitHack目录里
python GitHack.py http://challenge-1a54bf1fa0482920.sandbox.ctfhub.com:10800/.git
在这里插入图片描述这里出现了错误是因为python版本问题
再打开一个窗口输入
update-alternatives --install /usr/bin/python python /usr/bin/python2 100
重新执行刚才的命令,这次成功了
它将跑到的数据放到了/AA/GitHack/dist/challenge-1a54bf1fa0482920.sandbox.ctfhub.com_10800

在这里插入图片描述再打开一个窗口进入GitHack下的dist目录中
ls看到challenge-1a54bf1fa0482920.sandbox.ctfhub.com_10800,cd进入,ls查看文件
我们没有找到我们需要的.git文件
因为它是被隐藏的
在这里插入图片描述ls -a查看全部文件,这次找到了,cd进入,ls查看一下

在这里插入图片描述git log 查看一下日志
我们发现它首先增加了一个flag,又删除了一个flag
那么我们根据现在的文件与之前的文件对比
多出来的部分就是我们要找的flag
在这里插入图片描述
OK我们先返回上级目录进到工作区
执行命令
git diff 500e5899ce45352304a073216b403bd6276447cc
进行对比
在这里插入图片描述
得到flag
ps:前面忘了截图qaq,我的锅

红禾.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
始章——ctfhub git泄露-log
qq_50315893的博客
01-08 300
git泄露-log 目录扫描工具-dirsearch 下载dirsearch git clone https://github.com/maurosoria/dirsearch 进入虚拟机使用dirsearch进行扫描,先进入dirsearch目录 扫描命令 python3 dirsearch.py -u <url> -e * 使用githack工具处理git泄露情况,同样首先进入githack目录 python2 GitHack.py <url.git> 这里要记
CtfHub-wp(web
01-23
Git泄露是另一个常见情况,通过`dirsearch`扫描并使用`GitHack`工具提取git历史记录,通过`git log`和`git show`命令可以获取flag。Stash功能在git中用于保存未提交的更改,使用`git stash list`查看堆栈,然后用`...
CTFHUB-web-信息泄漏
XiaoYeZhu_1314的博客
03-16 1099
题目所在位置:技能树->web->信息泄漏。
CTFHub:web前置技能-信息泄露-Git泄露-Log
最新发布
wdnmddbl的博客
06-06 637
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题,自行下载此题工具:链接:GitHack下载点我(此工具已归档,文章后我会提供另一种差不多的但更方便的工具)
CTFHUB-信息泄露-Git泄露
weixin_68416970的博客
06-01 610
CTFHUB技能树-web-信息泄露-Git泄露的通关教程
CTFhub技能树 web 信息泄露 Git泄露 Log
FFFFFFMVPhat的博客
11-16 400
克隆githack后 先进入GitHack目录 python GitHack.py 网址/.git 扫出来的东西没看懂 发现不是简单的扫描出结果 翻阅了别人的wp之后 发现还是要先用dirsearch扫,扫出git文件后 用GitHack恢复历史文件 打开后下载了一个这样的文件 同样,用git log xxxxxx 查看日志的方式也可以 查看日志后我发现,一共进行了三次操作 init初始化(查询百度翻译) 所以说第二步是add flag Remo...
CTFHUB中的git泄露
kllwlick的博客
03-07 3256
这里写自定义目录标题CTFHUB上的git泄露题目 CTFHUB上的git泄露题目 自己在刷CTFHUB上的题目时,遇到三道git泄露题目,同时也第一次使用GitHack来解题,以下是题目的解法。 1.安装GitHack工具,这里推荐使用git clone的方法,在终端下输入命令git clone https://github.com/BugScanTeam/GitHack即可 2.使用GitHack来对网站进行扫描,首先打开GitHack的安装目录,然后使用python GitHack.py+网址+.
ctfhub--log
ljj20020718的博客
11-16 470
ctfhublog过关
CTFHub | Log
尼泊罗河伯的博客
10-07 1485
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。因为对工具的不熟悉,且也不太了解 Git泄露漏洞。此题主要参考官方 writeup 来完成。
posh-git-master.zip
09-04
Posh-Git是一款专为Windows PowerShell设计的Git命令行扩展工具,它极大地提升了Git在PowerShell环境中的用户体验。标题中的"posh-git-master.zip"表明这是一个包含Posh-Git源码或安装文件的压缩包,可能包含了最新...
Laravel开发-git-changelog
08-28
当我们谈论“Laravel开发-git-changelog”时,我们实际上是在讨论如何将Git的日志信息转换成易于阅读的变更日志(changelog),这对于跟踪项目的开发进度、发布历史以及理解代码更改至关重要。 `git-changelog` 是...
simple-git:简明Git教程。浅显易懂,快速入门!
02-03
git log ``` **回退到指定版本**: ``` git reset --hard commit-hash ``` **解决冲突**: 手动编辑冲突文件,保留想要的更改,然后添加和提交。 通过了解Git的基本操作和使用Simple-Git库,你可以更高效地在...
eslint-formatter-git-log:ESLint Formatter,具有Git作者,日期和哈希
02-05
eslint-formatter-git-log ESLint Formatter,具有Git作者,日期和哈希 目录 :cloud_with_lightning: 安装 npm install --save-dev eslint eslint-formatter-git-log :joystick: 用法 要使用默认配置...
CTFHUB-信息泄露-Git
u014794539的博客
07-10 252
Log Stash Index
CTFHub-Git泄露-Log
good good study
05-11 1051
git是一个版本控制工具,通过泄露的.git文件可还原代码题目如下。
CTFHub——Web前置技能——信息泄露——git
weixin_45871855的博客
11-14 1219
get泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 打开环境 http://challenge-d043310a994a68c6.sandbox.ctfhub.com:10080/ 用御剑扫描,只扫描出 URL/index.html 所以我们用另外的扫描工具 dirsearch 来扫描 安装及使用方法(转载) ...
[CTFHub]Logweb>信息泄露Git泄露)——详细解析
ZXW_NUDT的博客
05-06 5454
不得不说这个东西的话,了挺久的,接下来我把详细过程在这里跟大家分享一下 我已经把这道题用到的两个可以使用的东西上传到了这里,可以下载一下: Dirsearch GitHack 下载完成以后可以直接从Windows中直接把GitHack拖进虚拟机(KALI)中,可以放在KALI的桌面上 然后点击右键,选择“在此解压”↓ 然后就会得到一个文件夹↓ 打开文件夹,复制一下文件夹的位置↓ 然后打开终端,在终端中进入该文件夹的视图↓ 然后输入一下代码↓ python GitHack.py <URL&.
ctfhub-log(超细,不要踩坑)
qq_64201116的博客
06-14 2709
别踩坑啊,伙计们,真的是搞了这个浪费好久时间好亏,快进来看看,避免踩坑,我看了别人的文章写的详略不得当真的害死我
CTFhub技能树web-Git泄露
Mccc_li的博客
04-04 1228
1.log 使用dirsearch扫描一下网站: 在git/log中可以看到add flag版本 用Githack下载项目 再用git diff HEAD^查看flag
ctfhub-git泄露stash
09-13
同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值