Git泄露(.git leakage)(git log 和 Stash储藏)+ [CTFHub]Git泄露系列writeup

最新推荐文章于 2024-07-17 10:15:42 发布
最新推荐文章于 2024-07-17 10:15:42 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: ctf # web 文章标签: git git泄露 ctf
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/120157643
版权
这篇博客探讨了Git泄露问题,特别是由于在线环境中暴露.git文件夹导致的安全隐患。内容涉及git log的使用来查看commit日志和差异,以及如何通过Stash储藏管理未提交的修改。文章还提到了githack和git hacker工具在CTF挑战中的应用,并介绍了.git目录下不同文件的作用。
摘要由CSDN通过智能技术生成

Git泄露 .git leakage

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

.git文件夹中

hooks:存放一些shell脚本
info:存放仓库的全局性排除文件信息
logs:保存所有更新的引用记录
objects:存放所有的git对象
refs:存储指向分支的提交对象的指针
config:仓库的配置信息
index:暂存区(二进制)
HEAD:映射到ref的引用


工具

githack

python GitHack.py http://challenge-842e601b1b798242.sandbox.ctfhub.com:10800/.git

githacker

githacker --url http://challenge-cbbf884ca8dd4ebb.sandbox.ctfhub.com:10800/ --folder /home/p3/result1

git log查看commit日志

通过git log来查看commit

  • diff查看改动
git diff [commit id]
  • 直接reset版本回滚
git
最低0.47元/天 解锁文章
shu天
关注
专栏目录
GitLeak:GitLeak 是一个从 Github 上查找密码信息的小工具
05-19
GitLeak GitLeak 是一个从 Github 上查找密码信息的小工具。在的基础上修改而来。攻击者在 Github 上搜索主要目的是获取一些密码,GitLeak 针对这个痛点进行了优化搜索。 程序使用帮助 USAGE: -l Set level for searching within 1~5, default level is 1. -k Set key words for searching projects. -h Show help information. -l:选填参数,用于设置代码搜索深度; -k:必填参数,用于设置搜索关键词,若关键词中包含空白字符,需用双引号将关键词括起来; -h:帮助信息。 文件配置说明 pattern为搜索项文件配置目录,相关文件说明如下: file.db:敏感内容关键词搜索的文件名称范围,
CTF中的GIT泄露
zy_mpy的博客
03-13 1044
由于本人也是一名ctf的萌新,所以笔记比较易懂但又不可避免的浅显,如有错误,欢迎各路大神来指正。先简单介绍一下GitGit是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。发布代码的时候,如果没有把,git这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码,这就引起了git泄露漏洞。处理Git泄露的题目时,需要用到scrabble,dirsearch和gihack三个工具。一、常规git泄露常规 gi
git泄露
最新发布
qq_69100706的博客
07-17 458
Git泄露通常指的是在使用Git版本控制系统的过程中,由于配置错误或操作失误,敏感信息被意外地提交到Git仓库中,进而可能被公开或被未授权的第三方访问到的情况。这些敏感信息可能包括但不限于API密钥、数据库凭证、个人身份信息、私钥或其他保密信息。
CTFgit源码泄露
qtL0ng的博客
04-06 5091
CtfHub----Git泄露 Log 下载源码: 命令记录: $ git reflog # 显示当前分支的最近几次提交 $ git show [commit] # 显示某次提交的元数据和内容变化 $ git log # 显示当前分支的版本历史 $ git reset --hard [commit] # 重置当前分支为指定commit,与指定commit一致 解法一: 解法二: Stash git stashgit一个很有用的命令,它的作用是把当前未提交的修改暂存起来
Git泄露
cyy001128的博客
04-23 1686
通过git stash存储的修改列表,可以通过git stash list查看,git stash show用于校验,git stash apply用于重新存储,直接执行git stash等同于git stash save,执行 git stash pop 是恢复文件。前几步大致相同,都是用dirsearch扫描是否存在git漏洞,然后打开githack连接,后面则是分为git loggit stashgit index几种。用git reset --hard 回退版本,打开文件夹可找到flag。
pythoninformation leakage_GitHub - AlexAUM/GSIL: Github Sensitive Information LeakageGithub敏感信息泄露)...
weixin_39943370的博客
12-21 150
GSIL(GitHub Sensitive Information Leak)Monitor Github sensitive information leaks in near real time and send alert notifications.近实时监控Github敏感信息泄露,并发送告警通知。Installation(安装)仅在Python3下验证过git clone https:...
git: ‘lfs‘ is not a git command. See ‘git --help‘的解决方案
热门推荐
weixin_43178406的博客
06-18 9万+
本文主要介绍了git: ‘lfs’ is not a git command. See 'git --help’的解决方案,希望能对学习git的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
git泄露查询
10-31
github泄露信息进行检索查询,可以用于信息收集,资产探测。
git2.31.1安装包
02-18
同时,掌握`git blame`和`git log`等历史查询命令,可以更好地理解代码演变过程。 此外,了解Git的图形化工具,如SourceTree、GitKraken或TortoiseGit,能够提供直观的界面,使Git操作更为简便,特别是对于初学者。...
Git-2.42.0-64-bit-windows安装版
08-26
Git是目前非常流行的分布式版本控制系统,由Linus Torvalds为Linux内核开发而创建,该资源包含 Git-2.42.0-64-bit-windows安装版,仅供学习,下载后请及时删除 Git是目前非常流行的分布式版本控制系统,由Linus ...
Git-2.45.2-64-bit.rar
06-10
- `git stash`:临时保存未提交的更改,以便切换到其他分支或处理紧急问题。 - 分支管理:`git branch`和`git merge`可以方便地创建、删除和合并分支。 - 标签(Tag):用`git tag`标记特定版本,方便回溯和发布。 -...
.git 泄露
weixin_34409741的博客
11-19 712
等待笔记。。。 转载于:https://www.cnblogs.com/AardWolf/p/9986536.html
Git信息泄露漏洞
qq_29566629的博客
05-27 550
对域名进行目录扫描时,如果发现有.git就说明有可能存在git信息泄露。 然后就可以试着使用GitHack(github上有)dump下源码
Ubuntu安装gitleaks
sonichenn的博客
04-26 315
【代码】Ubuntu安装gitleaks。
Git泄露相关知识点
2201_75437983的博客
10-18 1505
点开看了以后里面什么都没有,注意这里一定要进去到了文件里面以后再打开终端,执行git loggit log 显示到HEAD所指向的commit为止的所有commit记录,简单说来就是可以查看之前版本的记录(删除了的看不见),git refloggit log功能一样(删除了的也能查看)。可以看到我们git log以后我们能看到三个版本的哈希值,一个是现在所在的版本(remove flag),一个是前版本(add flag),一个是初始化的版本(init),而我们现在的版本大家也看到的是空白的一个文件。
ctfhub-git泄露stash
09-13
同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露stash。 然而,需要注意的是,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值