【CTF整理】CTFhub技能树-Web-信息泄露-Git泄露

最新推荐文章于 2024-09-05 11:09:31 发布
最新推荐文章于 2024-09-05 11:09:31 发布
阅读量3.5k 收藏 13
点赞数 3
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42742658/article/details/106034511
版权

【CTF整理】CTFhub技能树-Web-信息泄露-Git泄露

一、 log
进入界面,得到一个url,根据提示直接开干
1、使用dirsearch扫描url,发现url低下存在敏感文件.git
python3 dirsearch.py -u <url> -e *

在这里插入图片描述
在这里插入图片描述

2、使用GitHack进行文件恢复【这里需要将扫描到的.git加在url后面】,然后在GitHack所在目录下的dist目录下得到恢复的文件。
python2 GitHack.py <url>  (url格式:http(s)://xxx/.git)

在这里插入图片描述
在这里插入图片描述

3、进入dist目录中的刚恢复的文件内打开git,读取git日志,发现:

在这里插入图片描述

回退到“add flag”的那个版本,即可查看flag

在这里插入图片描述

二、Stash
dirsearch扫描发现.git文件(找到思路),GitHack恢复到本地dist目录下,进入恢复的目录下打开git操作

在这里插入图片描述

git log  //查看日志
这里可以使用Stash栈pop出flag,也可以直接回到add flag的版本查看,这里我使用pop出,得到flag

在这里插入图片描述在这里插入图片描述

三、Index
如法炮制,dirsearch目录扫描,GitHack恢复到本地,git读取flag(git log发现这里的flag直接在当前工作区,可是ls显示啥也没有,无奈回到当前版本才显示出来,我满头的小问号????)在这里插入图片描述在这里插入图片描述

在这里插入图片描述

by 久违 2020.5

久违 °
关注
专栏目录
CTF相关了解
qq_44841017的博客
04-21 1615
基础知识 CTF简介 CTF(Capture The Flag,夺旗赛)CTF 的前身是传统黑客之间的网络技术比拼游戏,起源于 1996 年第四届 DEFCON,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。 CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中...
ctfhub技能树_web_信息泄露
YanLucyqi的博客
11-28 1443
(5)输入su root切入root用户,然后再输入perl -MCPAN -e shell,在shell中输入yes、install DBD::SQLite和exit,再输入./rip-svn.pl -v -u http://challenge-cc015ed48792bae4.sandbox.ctfhub.com:10800/.svn/恢复原先版本。(2)打开https://gitcode.net/mirrors/BugScanTeam/GitHack?
CTFhub技能树web-Git泄露
Mccc_li的博客
04-04 1231
1.log 使用dirsearch扫描一下网站: 在git/log中可以看到add flag版本 用Githack下载项目 再用git diff HEAD^查看flag
ctfhub-web-信息泄露-题解
baishiqi12的博客
08-13 283
CTF Hub”是一个用于练习和解决各种安全问题的平台。信息泄露CTF挑战中的一个常见题目类型,目标是通过各种技术手段获取系统中意外暴露的敏感信息
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 7259
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
CTFHub-技能树-web-RCE
yuqie的博客
06-14 250
RCE(Remote Code/Command Execute)为远程代码/命令执行的漏洞。攻击者可以直接在web页面向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞。
CTFHUB技能树——web
qq_63980959的博客
04-20 6200
因为我一开始是没打算写博客的,所有前面的图基本都没截图,以至于后面想写博客的时候没图,又没有金币了,我想吃西瓜都吃不到,更别说充金币。分币不花,玩的就是陪伴。前面的一些图来自于大佬们的博客,我会在结尾@出来。
ctfhub 技能树 信息泄露 git泄露
haoxue__的博客
04-04 3412
ctfhub 技能树 信息泄露 git泄露 知识学习 git log 命令用于显示提交日志信息git show 命令用于显示各种类型的对象。 git stash list 当要记录工作目录和索引的当前状态,但想要返回到干净的工作目录时,则使用git stash。 该命令保存本地修改,并恢复工作目录以匹配HEAD提交 这个命令所储藏的修改可以使用git stash list列出 git stash pop 从git栈中获取到最近一次stash进去的内容,恢复工作区的内容.获取之后,会删除栈中对应的st
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7180
Web 题目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
CTFHUB-Git泄露
qq_62078839的博客
07-21 573
首先下载GitHack。
CTFHub Web/信息泄露/git泄露/log 遇到的问题
weixin_51369712的博客
10-07 1415
一些简单ctfhub上的题目的低级错误
CTFhub技能树SSRF
weixin_51614272的博客
03-06 5614
目录第一部分内网访问伪协议读取文件端口扫描第二部分POST请求上传文件FastCGI协议Redis协议第三部分URL数字IP302跳转DNS重绑定 第一部分 内网访问 构造payload: /?url=http://127.0.0.1/flag.php 伪协议读取文件 这里使用file协议,构造payload: /?url=file:///var/www/html/flag.php 打开源码即得flag 端口扫描 据说端口范围是8000-9000哦。 直接用burpsuite无脑暴力爆破哇,立马得出
CTFHUB技能树(全详细解析含进阶)
热门推荐
hxhxhxhxx的博客
01-17 3万+
HTTP协议 请求树 根据提示直接修改头即可 302跳转 直接重放获得302跳转, Cookie 字面意思, 基础认证 简介: 在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证 附件提供了密码,很明显就是爆破 有了用户名,而且发现一个base加密的东西 解密看看 固定格式啊,
CTFHub Web 信息泄露题目 Git泄露(log,stash,index)
bailuy的博客
09-11 5461
CTFHub Web 信息泄露题目 Git泄露(log,stash,index)1.log2.stash3.index 1.log 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 这里需要用到python脚本:GitHack 也可以先dirsearch扫描一下,但其实扫不扫描都无所谓,因为你一定能扫出来有git泄露,我们就直接githack python GitHack.py <url>(url格式
CTFHub 技能树web
weixin_63231007的博客
07-19 2488
这道题是想让我们对http的请求方式有一个了解。由这些可知需要用CTFHUB的请求方式请求index.php才能拿到flag这就需要用到我们windows自带的curl命令了。curl用法参数-v显示整个通信的过程-X指定HTTP请求方法这里就需要用到我们的-X参数了。得到flag。也可以用burp抓包更改左上角的请求方式。......
CTFHub技能树-Git泄漏-Log
最新发布
m0_74313947的博客
09-05 1196
具体利用思路 :利用爬虫递归下载.git目录的所有文件利用git命令对网站的commit历史进行查看利用git命令对网站的源码进行恢复具体操作 :演示网站 : http://www.xxx.com/.git/1.在虚拟机中利用wget对该目录进行递归下载(-r)--recursive(递归)-k, --convert-links(转换链接)-p, --page-requisites(页面必需元素)-np, --no-parent(不追溯至父级)
CTFHUB--技能树--SSRF全解(下篇)
errorr0
05-14 1375
技能树SSRF
ctfhub技能树web
m0_58030673的博客
05-19 1154
ctfhub技能树web方向wp
CTFHUBWeb技能树——信息泄露writeup
生活·代码_这里是青_分享快乐
04-12 6818
CTFHUB writeup,web技能树信息泄露,目录遍历、PHPINFO、备份文件下载、网站源码、bak文件、Vim缓存、.DS_Store、Git泄露、Log、Stash、Index;路径遍历攻击(也称为目录遍历)旨在访问存储在Web根文件夹之外的文件和目录。通过操纵带有“点-斜线”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。需要注意的是,系统操作访问控制
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

久违 °

小菜鸟就要使劲飞

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值