Bugku---web---source

已于 2024-05-02 14:08:50 修改
阅读量430 收藏 1
点赞数 13
文章标签: web安全 网络安全
于 2024-05-02 12:46:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47450099/article/details/138390064
版权

题目出处: 首页 - Bugku CTF

打开链接界面如下!!!

 还是作题老样子,打开kali虚拟机,将数据包发送,查看响应头,结果flag就在里面,超级简单的题,目的应该是在锻炼我们去熟练使用虚拟机,就像题目所描述的一样!!!

 

 ✨哈哈哈,我以为这就是flag了,结果发现flag错误,这题有意思,继续找!!!

 ✨web三件套:1.御剑扫描+dirsearch扫描后台目录;2.查看源代码或代码注释信息;3.BurpSuite抓包

 ✨发现方法2、3不行,那就试试方法1!!!

🔈拓展拓展啦!!!

    dirsearch是一个基于python的命令行工具,用于暴力扫描页面结构,包括网页中的目录和文件。

  ✨打开终端并输入以下命令下载dirsearch!!!

 ✨然后用dirsearch扫描此题的web页面,如图所示!!!

 ✨发现里面有.git文件.git文件夹是Git版本控制系统在项目根目录下创建的隐藏文件夹,包含了Git仓库的所有相关信息。)还有flag.txt文件,这就是新的线索了,说明我的查探方向是没有错的,下面就是将这几个文件打开看一下里面是不是存在flag!!!

 🔈拓展拓展啦!!!

     使用wget下载单个文件

     wget  http://114.67.175.224:12706/.git/

    使用wget -O下载并以不同的文件名保存
    wget  -O  文件名  http://114.67.175.224:12706/.git/

   使用wget –limit -rate限速下载
   wget  --limit-rate=300k  http://114.67.175.224:12706/.git/

 ✨ 现在我们开始下载该文件!!!

✨用cd进入目录,ls查看目录!!!

🔈拓展拓展啦!!!

git reflog 可以查看本地所做的任意提交历史,包括已经被删除的。git log 查看的日志限于当前存在的提交历史

✨所以我们来看看此日志的使用详情!!!

✨依次将这几个文件打开查看,发现有很多flag!!!

 

✨最后将这些flag依次试验,会得到一个正确的flag!!!

flag{git_is_good_distributed_version_control_system}

✨这道题确实很有挑战性👍

粉车绿衣搞笑网工女
关注
  • 13
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
Bugku中的source
A272036149的博客
04-16 550
进入环境后 我们首先查看源码可以得到一个flag 这肯定是个假的(已经提交过了确实是个假的) 题目提示要用Linux 这里使用的是kali 我们首先dirsearch一下这个网站 可以看到有.git文件泄露 也可以点开那个链接但是在里面没有找到flag 然后选择下载这个.git文件 然后进入这个文件夹 输入git reflog查看文件状态 可以看到有四个都有flag is here 一个一个查看git show 然后在40c6d51中发现了我们需要的fl
source-insight4
11-18
source-insight4安装包和破解工具。 。
bugku source
weixin_63810302的博客
09-28 1120
bugku source
Bugku-source
qq_51283187的博客
08-11 1854
Bugku-source 第一次用Linux来做题,差点以为要烂题了 看到题目,没有线索.先扫目录,可以用御剑也可以用kali自带的 gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt 然后扫出来发现有git文件 访问一下,发现确实是有很多资源噢 于是乎把它们都下载下来, 这里下载的话不一定要用githack,感觉这个工具现在好难用啊,要python3但是windows环境下我又不会玩,只
bugkusource
weixin_45942044的博客
03-14 281
进行base 64解码发现解码失败,所以这个flag是假的。输入命令git reflog 显示可引用的历史flag记录。然后使用git show命令挨个查看,最后得到flag。输入命令wget -r 将git下载下来。打开kali,用dirb进行目录扫描。
bugku——source
m0_46607055的博客
10-29 378
解题思路: source 有源码的意思。 先 Ctrl + u 查看源代码,得到一个错误的flag。 既然是源码泄露,直接上dirsearch 扫描 python3 dirsearch.py -u "your_url" 发现有git泄露 (忘了截图了,见谅) 使用wget 下载源码 wget -r ip/.git -r 参数为 递归,下载所有文件。 若kali没有 wget ,使用以下命令下载 apt-get update apt-get install wget 下载完..
apache-apollo-1.7.1
10-26
apache-apollo-1.7.1-unix-distro.tar.gz apache-apollo-1.7.1-windows-distro.zip apollo-project-1.7.1-source-release.tar.gz apollo-project-1.7.1-source-release.zip
flume-ng-sql-source-1.5.2
10-12
Flume-ng-sql-source-1.5.2是Apache Flume的一个扩展,它允许Flume从SQL数据库中收集数据。Apache Flume是一个分布式、可靠且可用于有效聚合、移动大量日志数据的系统。"ng"代表"next generation",表明这是Flume的...
ObtainSourceCode-Java
04-30
语言和工具: 目录结构: |-- ObtainSourceCode-Java |-- out | |-- production | |-- ObtainSourceCode-Java | |-- Main.class | |-- src | |-- com | |-- oscfurl | |-- Main.java | |-- sourceCode.html ...
qt-creator-opensource-windows-x86_64-4.14.2.exe
06-28
qt-creator-opensource-windows-x86_64-4.14.2.exe 这个版本用于开发,自带flat 风格。 安装包里有Debugging Tools for Windows 不用另行安装这个工具了。真是很方便 。
bugku笔记刷题目的整理
04-12
自己刷bug库题库的一些笔记整理,所有题应该都有吧基本上
bugku杂项题writeup
11-22
bugku杂项题writeup
bugku--source
最新发布
qq_51802152的博客
12-14 758
bugku--source
bugku souce
weixin_46578840的博客
06-29 275
提示 打开场景后,f12看到一个flag,一看就是假的 因为提示说Linux,所以用的gobuster跑一下,发现有/.git/目录 gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt wget -r http://114.67.246.176:10491/.git 递归下载该网站目录下的文件及文件夹 git reflog 查看执行的命令日志 使用git show commit_id
BugKu——Web——source
m_de_g的博客
09-02 748
BugKu——Web——source 一、解题思路 1.查看页面源代码,看到flag 2.base64解密 3.有点奇怪,不过先提交试试 4.果然没有这么简单,根据提示Linux环境,使用Xshell连不上,根据题目提示Source,那肯定是源代码泄露,还有一个提示就是源代码里的tig,有点脑洞是git泄露 wget -r http://114.67.246.176:17920/.git 5.下载下来的文件,进入到目录中 6.执行命令git reflog 7.接下来了就直接使用一个一个文件的测试
bugku web source
m0_58189778的博客
08-19 218
题目:bugku web source 知识点:git文件泄露 漏洞产生原因:站点部署时直接将.git文件夹也部署到了线上 危害:git文件夹下可能含有敏感信息 工具: dirmap或者御剑等扫描工具,找出git目录即可 wget或者任意下载工具下载目录 解题: 先用dirmap扫描发现.git目录 使用wget命令下载.git 目录 使用git reflog查看历次提交 git show commitid号查看历次提交细节,寻找flag ...
二十一、bugku source
山兔的博客
09-06 158
.git泄露 首先kail上,扫网站上的相关子目录使用dirb http://ip:port, wget -r http://114.67.246.176:13412/.git 在kali中递归下载 .git目录文件得到一个文件夹。 在上一步得到的文件夹中执行命令, git reflog //查看执行的命令日志 git reset 13ce8d0 //回退到该版本的版本库 多试几个commit id git status 查看文件状态 git checkout -- flag.
bugku-source(小宇特详解)
小宇的web博客
06-20 3321
bugku-source 1.这里先查看一下源码,发现在源代码中有一个flag.这里的flag当然是假的。 2.题目提示用kali,直接打开kali扫描,我这里用的是gropher 来扫描。这里直接扫出了git,这里利用git漏洞。(这里忘了截图了,小偷一波)。扫描的命令gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt 3.这里将git文件下载,wget -r http://114.6
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值