Git 源码泄露
开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码。
确定是否存在泄漏
想要确定是否存在这个漏洞,可以通过以下方式。首先是看看有没有提示醒目地指出 Git,如果有就考虑存在。如果没有也可以使用 dirsearch 工具扫描后台,如果存在则会扫描出 .git 目录如图所示。
当然也可以直接通过网页访问 .git 目录,如果能访问就说明存在。
也可以试着访问 .git/head 文件,如果能下载也能推断存在 Git 源码泄露。
获取泄露的源码
使用 GitHack 工具
题目
1.【攻防世界】mfw
2.【攻防世界】lottery