攻防世界-mfw题
Git源码泄露
开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码
assert函数漏洞
assert()函数导致的代码执行漏洞大多是因为载入缓存或者模板以及对变量的处理不严格导致,比如直接把一个外部可控的参数拼接到模板里面,然后调用这两个函数去当成 PHP 代码执行。
题目分析
进入靶场后,发现网站存在三个界面:
三个界面分别为:home、about、contact
观察about界面中的提醒,可发现编辑网站过程中使用了git,这时,我们就很容易想到会不会用到git源码泄露
进一步探测,访问 /.git/ 网页发现存在git源码泄露:
首先使用gi