题目出处: 首页 - Bugku CTF
✨打开链接界面如下!!!
✨还是作题老样子,打开kali虚拟机,将数据包发送,查看响应头,结果flag就在里面,超级简单的题,目的应该是在锻炼我们去熟练使用虚拟机,就像题目所描述的一样!!!
✨哈哈哈,我以为这就是flag了,结果发现flag错误,这题有意思,继续找!!!
✨web三件套:1.御剑扫描+dirsearch扫描后台目录;2.查看源代码或代码注释信息;3.BurpSuite抓包
✨发现方法2、3不行,那就试试方法1!!!
🔈拓展拓展啦!!!
dirsearch是一个基于python的命令行工具,用于暴力扫描页面结构,包括网页中的目录和文件。
✨打开终端并输入以下命令下载dirsearch!!!
✨然后用dirsearch扫描此题的web页面,如图所示!!!
✨发现里面有.git文件(.git
文件夹是Git版本控制系统在项目根目录下创建的隐藏文件夹,包含了Git仓库的所有相关信息。)还有flag.txt文件,这就是新的线索了,说明我的查探方向是没有错的,下面就是将这几个文件打开看一下里面是不是存在flag!!!
🔈拓展拓展啦!!!
使用wget下载单个文件
wget http://114.67.175.224:12706/.git/
使用wget -O下载并以不同的文件名保存
wget -O 文件名 http://114.67.175.224:12706/.git/
使用wget –limit -rate限速下载
wget --limit-rate=300k http://114.67.175.224:12706/.git/
✨ 现在我们开始下载该文件!!!
✨用cd进入目录,ls查看目录!!!
🔈拓展拓展啦!!!
git reflog 可以查看本地所做的任意提交历史,包括已经被删除的。git log 查看的日志限于当前存在的提交历史
✨所以我们来看看此日志的使用详情!!!
✨依次将这几个文件打开查看,发现有很多flag!!!
✨最后将这些flag依次试验,会得到一个正确的flag!!!
flag{git_is_good_distributed_version_control_system}
✨这道题确实很有挑战性👍