CTFHub Git泄露-log解题思路

最新推荐文章于 2024-06-06 16:07:29 发布
最新推荐文章于 2024-06-06 16:07:29 发布
阅读量2.5k 收藏 20
点赞数 8
分类专栏: CTF小白 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45736958/article/details/116354666
版权

文章目录

一、什么是Git泄露?

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞

二、进入环境

在这里插入图片描述

2.查看页面

在这里插入图片描述

3.使用dirsearch扫描目录

python3 dirsearch.py -u http://challenge-b20bc02a1f02c35f.sandbox.ctfhub.com:10080/

发现存在git泄露

在这里插入图片描述

4.利用GitHack工具扫描

python GitHack.py -u http://challenge-b20bc02a1f02c35f.sandbox.ctfhub.com:10080/.git

GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,还原重建工程源代码。

在这里插入图片描述

4.使用git log查看历史记录

可以看见文件有过三次操作,flag处于add flag版本中
得到flag有两种解法:
1.文件比对
2.退回版本

在这里插入图片描述

三、flag

1.使用git diff对比文件

①:git diff:当工作区有改动,临时区为空,diff的对比是“工作区与最后一次commit提交的仓库的共同文件”;当工作区有改动,临时区不为空,diff对比的是“工作区与暂存区的共同文件”。
②:git diff <分支名1> <分支名2> :比较两个分支上最后 commit 的内容的差别

使用命令:
git diff 8240595cecf9ebdd21b9c5a2ba6ef582efa071d2 c9d03e2c6e6de0422d7c8d624c66529a3bd1b9c6

在这里插入图片描述

得到flag:ctfhub{7695df0273bfd39a86c8ecd4}

2.利用git reset回退文件版本

reset --hard 会在重置 HEAD 和branch的同时,重置stage区和工作目录里的内容。当你在 reset 后面加了 --hard 参数时,你的stage区和工作目录里的内容会被完全重置为和HEAD的新位置相同的内容。换句话说,就是你的没有commit的修改会被全部擦掉。

使用命令:
git reset --hard 8240595cecf9ebdd21b9c5a2ba6ef582efa071d2

在这里插入图片描述
在这里插入图片描述

1)打开文件发现flag

在这里插入图片描述

flag:ctfhub{7695df0273bfd39a86c8ecd4}

在这里插入图片描述

曹振国cc
关注
  • 8
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
始章——ctfhub git泄露-log
qq_50315893的博客
01-08 297
git泄露-log 目录扫描工具-dirsearch 下载dirsearch git clone https://github.com/maurosoria/dirsearch 进入虚拟机使用dirsearch进行扫描,先进入dirsearch目录 扫描命令 python3 dirsearch.py -u <url> -e * 使用githack工具处理git泄露情况,同样首先进入githack目录 python2 GitHack.py <url.git> 这里要记
loggit-maven-plugin:使用git生成项目的变更日志和发行说明
02-04
loggit-maven-plugin 为什么要使用另一个changelog插件? 其他changelog插件都没有我需要的功能的正确组合: 降价格式 更明智地选择提交范围(包括标签) 项目活动 产品特点 使用将git日志转换为任何格式。 指定...
CTFHub | Web——Git泄露Log
2301_76435948的博客
09-20 556
本题需要用到GitHack工具 ,上面详细介绍了安装过程,这里就不过多写了,开始正题! 1. 在控制台执行命令安装GitHack 2. 进入GitHack安装目录,对目标网址进行扫描
CTFHub:web前置技能-信息泄露-Git泄露-Log
最新发布
wdnmddbl的博客
06-06 625
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题,自行下载此题工具:链接:GitHack下载点我(此工具已归档,文章后我会提供另一种差不多的但更方便的工具)
CTFHubgit泄露-log
qq_50556869的博客
11-29 2772
文章目录: 1.git泄露 2.解题流程 3.flag 一、git泄露: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、解题流程: 1.由于之前的ctfhubgit这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeam的GitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
ctfhubGit泄露-log
weixin_50683638的博客
11-23 2870
WP——ctfhubgit泄露 题目如下: 1.标题提醒loggit目录下的过去日志),使用工具dirsearch(Windows本机)和githack(kali中),进入dirsearch目录下运行cmd, https://github.com/BugScanTeam/GitHackGitHack下载地址,将压缩包拖进kali python dirsearch -u <url> -e * 扫描中看到有git目录,用GitHack扫描目录。 在kali中用githack查看.git
CTFHub | Log
尼泊罗河伯的博客
10-07 1478
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。因为对工具的不熟悉,且也不太了解 Git泄露漏洞。此题主要参考官方 writeup 来完成。
CTFHub技能树web(持续更新)--web信息泄露--Git泄露--Log
jiuyongpinyin的博客
08-08 436
Log 按照管理查看源码,没什么有用的,使用dirsearch扫描: 发现存在git文件泄露,使用GitHack工具: 扫描出来这两个,我做到这就不知道该怎么做了,参考了大佬的文章才知道,原来是可以通过命令查看的: 通过git log 查看日志,发现有一个add flag很可疑,接着我们让工作区和暂存区作比较: 得到flag 参考链接: https://www.cnblogs.com/anweilx/p/12453703.html 工具链接: https://github.com/BugScanT
gitblit-1.9.3.zip
06-28
- `log4j.properties`: 日志配置文件,用于控制Gitblit的日志输出。 - `证书和密钥文件`: 可能包含SSL证书和私钥,用于HTTPS通信。 - `样本仓库`: 示例Git仓库,用于测试和演示Gitblit的功能。 安装和配置Gitblit时...
git-changelog:来自git消息的分类更改日志
05-19
git-changelog是用于生成通常在项目发行里程碑中分发的(又称为发行说明)的工具。 与其他执行相同操作的工具不同,该工具不需要您遵循任何特定的git工作流程约定。 它所假设的只是您将选择一些关键字(或使用内置...
git-log-as-object:以JavaScript对象的形式获取任何提交范围的历史记录
03-04
git-log-as-object git-log-as-object模块允许异步收集本地git信息库中任何范围的提交的提交元数据。用法gitLog(选项?:选项):Promise <Commit> 异步获取特定参考范围内所有提交的元数据。参数options :包含...
git-log-parser:解析包含git-log数据的文件,并将提取的信息导出到CSV文件
05-12
git-log-parser 解析包含git-log数据的文件,并将提取的信息导出到CSV文件。 从控制台构建和执行 mvn clean install 视窗: mvn exec:java -D"exec.mainClass"="de.unitrier.st.gitlogparser.GitLogParser" -D...
CTFhub技能树 web 信息泄露 Git泄露 Log
FFFFFFMVPhat的博客
11-16 397
克隆githack后 先进入GitHack目录 python GitHack.py 网址/.git 扫出来的东西没看懂 发现不是简单的扫描出结果 翻阅了别人的wp之后 发现还是要先用dirsearch扫,扫出git文件后 用GitHack恢复历史文件 打开后下载了一个这样的文件 同样,用git log xxxxxx 查看日志的方式也可以 查看日志后我发现,一共进行了三次操作 init初始化(查询百度翻译) 所以说第二步是add flag Remo...
ctfhub--log
ljj20020718的博客
11-16 467
ctfhublog过关
CTFHUB中的git泄露
kllwlick的博客
03-07 3231
这里写自定义目录标题CTFHUB上的git泄露题目 CTFHUB上的git泄露题目 自己在刷CTFHUB上的题目时,遇到三道git泄露的题目,同时也第一次使用GitHack来解题,以下是题目的解法。 1.安装GitHack工具,这里推荐使用git clone的方法,在终端下输入命令git clone https://github.com/BugScanTeam/GitHack即可 2.使用GitHack来对网站进行扫描,首先打开GitHack的安装目录,然后使用python GitHack.py+网址+.
ctfhub技能树——信息泄露——git泄露——Log
qq_46222050的博客
08-24 2104
我们首先了解什么是git泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 我们打开环境,查看页面。 使用githack工具对网址进行扫描(githack只能在python2中运行,还要安装git!!!网上有教程,一定要配好环境,当时吃了很多苦头,我是在虚拟机上运行的,因为我电脑上已经有了python3。) 生成一个dist文件夹 ,文件夹里面还有一个文件夹,我们进去按住shift右键打开命令行。 使用gi
CTFHub-Git泄露-Log
good good study
05-11 1046
git是一个版本控制工具,通过泄露的.git文件可还原代码题目如下。
[CTFHub]Logweb>信息泄露Git泄露)——详细解析
ZXW_NUDT的博客
05-06 5415
不得不说这个东西的话,做了挺久的,接下来我把详细过程在这里跟大家分享一下 我已经把这道题用到的两个可以使用的东西上传到了这里,可以下载一下: Dirsearch GitHack 下载完成以后可以直接从Windows中直接把GitHack拖进虚拟机(KALI)中,可以放在KALI的桌面上 然后点击右键,选择“在此解压”↓ 然后就会得到一个文件夹↓ 打开文件夹,复制一下文件夹的位置↓ 然后打开终端,在终端中进入该文件夹的视图↓ 然后输入一下代码↓ python GitHack.py <URL&.
CTFHubweb入门--git log
m0_73605862的博客
07-23 167
然后用GitHack,但是他是在python2的环境下进行使用的,所以用update-alternatives将python切换到python2.当出现valid repository succeed 才算成功,并且可以看到git克隆的文件的目录。然后进入到目录下面的.git/文件查看他的log文件,然后发现初始化后,添加了一个flag文件。2.用dirsearch进行扫描目录,看有什么文件(记住他是在python3的环境下)第一步,回到GitHack.py的目录下,,就是原来克隆的目录下执行。
ctfhub git泄露log
10-19
根据提供的引用内容,我们可以得知以下信息: ctfhub存在git泄露漏洞,可以使用githack扫描,具体命令为:python2 GitHack.py -u http://challenge-a2143da80df5cd8b.sandbox.ctfhub.com:10800/.git。同时,可以使用git diff命令对比文件,具体命令为:git diff d7b0a8166625cd0c0e09ff80aeb44d023fa9b012 21141e26cc1462d5b872e5cc166bdb1807f9a060。此外,当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境,从而引起git泄露漏洞。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值