CTFHub:web前置技能-信息泄露-Git泄露-Index篇

最新推荐文章于 2024-07-13 17:35:54 发布
最新推荐文章于 2024-07-13 17:35:54 发布
阅读量324 收藏 6
点赞数 4
分类专栏: CTFHub学习指南 #CTFHub-web前置技能-信息泄露 文章标签: git 网络 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdnmddbl/article/details/139503788
版权

CTFHub个人学习记录

第三章:web前置技能-信息泄露-Git泄露-Index篇

文章目录

前言

路漫漫其修远兮,吾将上下而求索。
本文涉及以下知识点,去引用文章学习即可:
链接: 这是一个知识点
链接: 这是一个知识点
链接: 这是一个知识点
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题,自行下载此题工具:链接: GitHack下载点我(此工具已归档,文章后我会提供另一种差不多的但更方便的工具)

一、解题过程

方法一:

1.首先访问靶机页面,如下图所示:

在这里插入图片描述

2.使用dirb扫描工具,发现.git信息泄露,如下图所示:

在这里插入图片描述

3.使用githack工具下载目标源代码到本地进行分析,如下图所示:

在这里插入图片描述在这里插入图片描述

4.使用git log查看历史记录,发现,他把flag移除了,如下图所示:

在这里插入图片描述
在这里插入图片描述

方法二:

1.使用Git_Extract工具,用法和第一个差不多,但这个是自动解析,链接: Git_Extract工具下载点我,如下图所示:

在这里插入图片描述

总结

大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)

思路:
文章很详细

Rum:)
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTFHub Web Web技能+信息泄露
m0_51150495的博客
06-30 976
目录一、Web技能1.HTTP协议请求方式 302跳转 Cookie 基础认证 响应包源代码 二、信息泄露1.目录遍历 2.PHPINFO 3.备份文件下载网站源码 bak文件 vim缓存 .DS_Store 4.Git泄露Log Stash Index5.SVN泄露 6.HG泄露在开启题目后看到出现的链接,提示我们现在所使用的HTTP请求方式为GET方式,需要将请求方式修改为CYF**B来获取flag 我们刷新这个提示页面进行抓包,得到请求方式确实为GET 将数据包发送到Repeater,将GET修改
CTFHub——Web技能——信息泄露——git
weixin_45871855的博客
11-14 1207
get泄露大量开发人员使用git进行版本控制,对站点自动部署。如果配不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 打开环境 http://challenge-d043310a994a68c6.sandbox.ctfhub.com:10080/ 用御剑扫描,只扫描出 URL/index.html 所以我们用另外的扫描工具 dirsearch 来扫描 安装及使用方法(转载) ...
[ctf学习]ctfhub技能-web
小飒的博客
07-05 1689
背景知识 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 方法 1、OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器发送‘*’的请求来测试服务器的功能性 2、HEAD 向服务器索与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以再不必传输整个响应内容的情况下,就可以获取包含在响应小消息头中的元信息。 3、GET 向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在Web A
CTFHUB-技能-WEB通关
Alita_lxz的博客
11-11 6911
Web 题目来自ctfhub技能web部分 Web技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
2021-sc-web-02-git:2021-sc-web-02-git-깃연습
03-10
标题 "2021-sc-web-02-git:2021-sc-web-02-git-깃연습" 暗示这是一个关于 Git 的实践教程,可能是2021年某个课程或工作坊的一部分,专注于 web 开发。描述中提到的 "git commit / push / pull 연습" 指出该压缩包...
git-hub:GitHub的Git命令行界面
02-04
Git Hub 是一个基于 Git 的全球最大的开源代码托管平台,它为开发者提供了版本控制和协作的环境。Git 是一种分布式版本控制系统,它使得开发者可以追踪代码的修改历史,并且支持多人协同开发。GitHub 提供了一个友好...
lyrieek-git:强大的Git可视化Web GUI
03-29
lyrieek-git lyrieek-git是适用于Git的强大视觉工具! 尽管Git可以完成很多工作,但是所涉及的工作更加困难且容易出错。 lyrieek-git使此过程变得异常简单,并且更改了开发人员使用它时的工作方式。 安装 npm i ...
git-down-repo:为任何网址下载git-repo
02-03
git-down-repo开始npm install git-down-repo -g // 安装全局// test gitdown https://github.com/hua1995116/webchat // 下载整个仓库(默认master)gitdown https://github.com/hua1995116/webchat dev // 下载...
commit-msg-linter:git commit消息linter钩子
05-03
欢迎来到git-commit-msg-linter :waving_hand: :eyes: 立即查看您的每条git commit消息 :rocket: 。 一个git“ commit-msg”挂钩,用于根据流行的来替换您的git commit消息。 作为一个挂钩,它将在每次提交时运行...
CentOS7 安装 git 命令
弘毅_hao的博客
07-10 455
centos7 安装 最新版 git 命令
Gitea 仓库事件触发Jenkins远程构建
最新发布
iOS逆向与安全
07-13 114
高版本Jenkins需要关闭跨域限制和开启匿名用户访问。Gitea支持用于仓库事件的Webhooks。2. 设匿名用户可访问。
iNavFlight飞控固件学习-1《开发环境搭建》
陌城烟雨
07-10 1061
本节主要学习如何配编译InavFlight的linux开发环境,我用的是ubuntu开发环境,版本是Ubuntu 18.04.4 LTS,之过APM的开发环境,很多都可以直接不用配。本文致力于提供在 Linux 上为 INAV 2.6 及更高版本编译 INAV 的通用指南。INAV 需要相当新的版本的 gcc-arm-none-eabi 交叉编译器。不同的 Linux 发行版将提供不同版本的交叉编译器。
批量修改Git历史commit信息中的username
weixin_42236936的博客
07-10 209
批量Git历史信息修改脚本
LAZYNVIM学习使用笔记
汽车电子软件领域知识分享
07-10 360
本篇主要记录学习使用lazynvim的一些要点,防止遗忘。
Github 2024-07-11 Go开源项目日报 Top10
老孙正经胡说
07-11 619
根据Github Trendings的统计,今日(2024-07-11统计)共有10个项目上榜。
Run LoongArch64 Alpine VM on x86_64
qq_25650463的博客
07-09 349
3.1、创建新虚拟机->导入现有磁盘影像(E)->架构(A) (loongarch64)->Forward。在菜单栏找到virt-manager图标并打开,按照如下步骤进行安装启动。3.7 NIC->设备型号(virtio)->Apply->开始安装。3.6 IDE磁盘-磁盘总线(Virtio)->Apply。3.5 概况->固件(UEFI)->Apply。1.2 编译virt-manager。大概两三分钟后即可看到登陆信息。3.3 设内存及CPU个数。默认密码: alpine。默认账户: root。
mmc-utils 的 MMC 测试工具
yangzhao0001的博客
07-13 150
mmc-utils 的 MMC 测试工具
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值