CTFHUB-信息泄露-Git泄露

已于 2024-06-01 14:47:23 修改
阅读量509 收藏 9
点赞数 6
分类专栏: # CTFHUB 靶场打靶机 文章标签: git 网络安全 web安全
于 2024-06-01 14:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68416970/article/details/139248684
版权

目录

Log

Stash

index

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

需要用到的工具:

dirsearch (目录扫描工具在python3环境下)

githack (泄露利用工具在python2的环境下)

Log

使用dirsearch扫描

-u 目标url

-e 包含的文件拓展名(逗号分隔) 如-e php,asp,这里*指所有类型

-i 保留的响应状态码(以逗号分隔,支持指定范围) 如(-i 200,300-399)

dirsearch -u "http://challenge-f1455149644aea71.sandbox.ctfhub.com:10800/" -e* -i 200,300-399

发现存在 git 漏洞

使用 githack 扫描

python2 GitHack.py  http://challenge-f1455149644aea71.sandbox.ctfhub.com:10800/.git/

扫完之后就会生成一个文件然后访问这个文件(进入到这个目录)

获取文件的日志信息,查看历史记录

git log

对比添加和删除找到flag

git diff

Stash

stash命令可用于临时保存和恢复修改,可跨分支。

使用dirsearch扫描查看是否存在git漏洞

-u 目标url

-e 包含的文件拓展名(逗号分隔) 如-e php,asp,这里*指所有类型

-i 保留的响应状态码(以逗号分隔,支持指定范围) 如(-i 200,300-399)

dirsearch -u "http://challenge-9792a7fe2829926d.sandbox.ctfhub.com:10800/" -e* -i 200,300-399

使用githack扫描这个网址

python2 GitHack.py http://challenge-9792a7fe2829926d.sandbox.ctfhub.com:10800/.git/

访问这个文件

列出Git栈内的所有备份,可以利用这个列表来决定从哪个地方恢复

git stash list

从Git栈中读取最近一次保存的内容,恢复工作区的相关内容。由于可能存在多个Stash的内容,所以用栈来管理,pop会从最近的一个stash中读取内容并恢复。

git stash pop

ls -a 查看,cat这个txt文件,得到flag

index

一样的道理,使用 dirsearch 扫描是否存在 git漏洞

dirsearch -u "http://challenge-f78e07e1c78da759.sandbox.ctfhub.com:10800/" -e* -i 200,300-399

使用 githack,进入得到文件

python2 GitHack.py http://challenge-f78e07e1c78da759.sandbox.ctfhub.com:10800/.git/
dist/challenge-f78e07e1c78da759.sandbox.ctfhub.com.10800
ls -a
cat 828532521875.txt

燕雀安知鸿鹄之志哉.
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfhub 技能树 信息泄露 git泄露
haoxue__的博客
04-04 3274
ctfhub 技能树 信息泄露 git泄露 知识学习 git log 命令用于显示提交日志信息git show 命令用于显示各种类型的对象。 git stash list 当要记录工作目录和索引的当前状态,但想要返回到干净的工作目录时,则使用git stash。 该命令保存本地修改,并恢复工作目录以匹配HEAD提交 这个命令所储藏的修改可以使用git stash list列出 git stash pop 从git栈中获取到最近一次stash进去的内容,恢复工作区的内容.获取之后,会删除栈中对应的st
ctfhub-Git泄露
2202_75317918的博客
03-28 1052
ctfhub-git泄露
CTFHUB中的git泄露
kllwlick的博客
03-07 3134
这里写自定义目录标题CTFHUB上的git泄露题目 CTFHUB上的git泄露题目 自己在刷CTFHUB上的题目时,遇到三道git泄露的题目,同时也第一次使用GitHack来解题,以下是题目的解法。 1.安装GitHack工具,这里推荐使用git clone的方法,在终端下输入命令git clone https://github.com/BugScanTeam/GitHack即可 2.使用GitHack来对网站进行扫描,首先打开GitHack的安装目录,然后使用python GitHack.py+网址+.
CTFHUBGIT泄露
m0_56988395的博客
03-03 2057
目录 1、Log 2、Stash 3、Index 1、Log 使用dirsearch扫一下 python3 dirsearch.py -u http://challenge-e19c73ec65497ff1.sandbox.ctfhub.com:10800/ -e * 发现有git泄露,这里建议可以先学习一下Git命令 利用scrabble-master克隆下来看看 ./scrabble http://challenge-e19c73ec65497ff1.sandbox.ctf
Git泄露CTFHUBgit泄露
最新发布
ndjnddjxn的博客
05-09 863
去 .git/objects/(objects 所有的Git对象都会存放在这个目录中,对象的SHA1哈希值的前两位是文件夹名称,后38位作为对象文件名) 文件夹下下载 对应的文件。git泄露指的是开发人员在开发过程中遗忘删除 .git 文件夹,导致攻击者可以通过 .git 文件夹中的信息获取开发人员提交过的所有源码。使用git init初始化git仓库的时候,会生成一个.git的隐藏目录,git会将所有的文件,目录,提交等转化为git对象,压缩存储在这个文件夹当中。解压文件,按原始的目录结构写入源代码。
CtfHub-wp(web
01-23
Git泄露是另一个常见情况,通过`dirsearch`扫描并使用`GitHack`工具提取git历史记录,通过`git log`和`git show`命令可以获取flag。Stash功能在git中用于保存未提交的更改,使用`git stash list`查看堆栈,然后用`...
git-hub-angular
06-13
标题“git-hub-angular”指的是一个与Angular相关的项目,它被托管在GitHub上。Angular是一个由Google维护的开源JavaScript框架,用于构建动态web应用程序。这个项目可能是用户分享、存储或协作开发Angular相关代码...
git-hubGitHubGit命令行界面
02-04
Git Hub 是一个基于 Git 的全球最大的开源代码托管平台,它为开发者提供了版本控制和协作的环境。Git 是一种分布式版本控制系统,它使得开发者可以追踪代码的修改历史,并且支持多人协同开发。GitHub 提供了一个友好...
git-big-picture:Git —大图
02-03
总的来说,`git-big-picture` 是一个强大的工具,它利用Python和Graphviz将Git仓库的复杂信息转化为易于理解的图形表示。这对于项目管理和代码审查尤其有价值,使得团队成员可以更直观地查看和交流代码库的状态,...
git-down-repo:为任何网址下载git-repo
02-03
git-down-repo开始npm install git-down-repo -g // 安装全局// test gitdown https://github.com/hua1995116/webchat // 下载整个仓库(默认master)gitdown https://github.com/hua1995116/webchat dev // 下载...
CTFHUB -web-Git信息泄露
2301_76815548的博客
04-26 884
注意GitHck要在python2 的环境下而开本生自带,上面的dirsearch在python3的环境下,而kail也有python3 的环境,所以用的时候要指明用python2,不然会报错。安装dirsearch---apt-get install dirsearch。先用管理员权限进行跟新------apt-get update。----.在命令行输入sudo passwd root-git reset --hard<分支名>addflag。----按照提示操作就可以设置新的root密码。
CTFHub-ctfhub-Git泄露-Log
wrypot的博客
05-18 730
win+R输入cmd一步步进入到目录E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800来到目录后使用git log查看目录git log最后git show展示一下拿到key总结前期却什么python库,就补上git ssh key配置不能少祝师傅们都能够顺利解决!
CTFHub-Git泄露-Log
good good study
05-11 1016
git是一个版本控制工具,通过泄露的.git文件可还原代码题目如下。
CTFHubgit泄露-log
qq_50556869的博客
11-29 2749
文章目录: 1.git泄露 2.解题流程 3.flag 一、git泄露: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、解题流程: 1.由于之前的ctfhubgit这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeam的GitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
CTFHub - 信息泄露 -- Git泄露
m0_52920608的博客
01-24 2376
CTFHub 信息泄露 Git泄露
CTFHub-Web-信息泄露-Git泄露
qq_54037445的博客
11-18 3211
CTFHub-Web-信息泄露-Git泄露 Log、Stash、Index
始章——ctfhub git泄露-log
qq_50315893的博客
01-08 291
git泄露-log 目录扫描工具-dirsearch 下载dirsearch git clone https://github.com/maurosoria/dirsearch 进入虚拟机使用dirsearch进行扫描,先进入dirsearch目录 扫描命令 python3 dirsearch.py -u <url> -e * 使用githack工具处理git泄露情况,同样首先进入githack目录 python2 GitHack.py <url.git> 这里要记
ctfhub-git泄露stash
09-13
同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值