攻防世界-Misc萌新-MISCall(.git目录利用、git stash命令)-noconname-2014-quals

最新推荐文章于 2024-07-26 15:23:56 发布
最新推荐文章于 2024-07-26 15:23:56 发布
阅读量2.5k 收藏 3
点赞数 3
分类专栏: 攻防世界 git 文章标签: 攻防世界-Misc git stash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_Caleb/article/details/89331985
版权

拿到文件,winhex无线索,binwalk检测是bzip2文件,tar zjvf ctf进行解压:

看来我们拿到了某个站的git目录了 ,解压目录有个flag.txt文件,但flag并不在这里,以“.”开头的文件会被Linux自动隐藏,查看隐藏文件看到.git目录,大致浏览了下,接着对.git目录进行操作(在.git目录外操作):

先简单说下git stash

git stash 的作用

git stash用于想要保存当前的修改,但是想回到之前最后一次提交的干净的工作仓库时进行的操作.git stash将本地的修改保存起来,并且将当前代码切换到HEAD提交上.

通过git stash存储的修改列表,可以通过git stash list查看.git stash show用于校验,git stash apply用于重新存储.直接执行git stash等同于git stash save.


摘自:https://www.jianshu.com/p/14afc9916dcb

1、git log(查看git记录)

给出了一个最近上传的文件,但是目录中并不存在这个文件,看来也是没什么用。

2、git stash list(查看修改列表)

 看来存储列表是有东西的。

3、git stash show(校验一下列表中的存储文件)

4、git stash apply(重新储存,把上面的文件复原)

这样就得到了flag.txt和s.py,运行s.py即得flag。

大千SS
关注
专栏目录
攻防世界 MISCall 思路讲解
qq_53105813的博客
09-08 1119
攻防世界 wp
攻防世界-Misc-Get-the-key.txt(linux文件系统挂载、grep、gunzip )
Sea_Sand息禅
04-25 3045
拿到文件,解压得到一个未知的文件,拿到Linuxfile查看: 是Linux的文件系统数据,本来只要挂载就行了,但是我又用strings查看了一下字符串,然后差点完蛋。。。 strings查看结果: 看到这么多像是flag的字符串,还有这么多的文件名,果断用了binwalk,谁知道检测到了一大堆gzip文件: 然后就分解了一下QAQ: 然后看了看文件,发...
攻防世界-Misc-MISCall 来自于noconname-2014-quals
weixin_44624869的博客
08-02 744
本题主要考察 .git目录利用git stash命令 先使用binwalk查看文件类型,发现是bzip2文件 使用tar zjvf ctf命令进行解压, 由此可见本题考察 .git目录利用git stash命令 1、git log 2、git stash list 查看修改列表发现有东西 3、git stash show 4、git stash apply 5、运行s.py得到f...
攻防世界XCTF-MISC入门12题解题报告
最新发布
HUANGXIN9898的博客
07-26 447
MISC属于CTF的脑洞题,简直就是信息安全界的脑筋急转弯。你说它渣,它也有亮点,不好评说。这块最亮眼的入门题就属隐写术,出题人骚的狠。但是我感觉未来其一个重点,就是大数据安全,从海量流量捕获恶意流量,比如流量有一个常见的OWASP10攻击,flag就藏在恶意流量里面,找到攻击就找到flag。准备大年30晚上把这块吃掉。写文章不容易,求三连。
攻防世界MISCall
一颗小白菜的博客
04-02 2050
攻防世界MISCall 1、题目 网址:攻防世界 2、原理及工具 原理:git信息泄露 git官网资料:https://www.git-scm.com/book/zh/v2 工具:kali、python 3、解题过程 下载下来的文件名字太长,先改个名字 root@kali:~/Desktop/CTF# mv d02f31b893164d56b7a8e5edb47d9be5 miscall roo...
[CTF-攻防世界]MISCall
Luistin的博客
01-14 473
3.tar -xjvf d02f31b893164d56b7a8e5edb47d9be5 #用tar来解压,出现了个flag.txt,但解压的过程有个.git,这个文件夹里面没有,ls -a 可以看见这个.git,说明是隐写了。4.然后git stash show​校验列表存储的文件,可能在这之前会显示报错,我们用git config --global --add safe.directory "*";6.运行这个python程序,python s.py​,但发现报错误了,可能是print的原因。
攻防世界 MISC - MISCall
c868954104的博客
11-09 149
查看发现是将flag.txt内容读取出来然后进行sha1加密再在前面加上NCN,这应该就是flag。附件 放入kali使用file命令查看文件类型,发现是一个bzip2压缩包。发现存在.git目录和一个flag.txt,flag.txt是假的。变成了.out 文件,查看发现是一个tar压缩包。运行s.py得到flag。
Git-2.33.0.2-x64-bit
06-25
安装详见“https://blog.csdn.net/Passerby_Wang/article/details/120767020?ops_request_misc=&request_id=&biz_id=102&utm_term=git%202.33.0.2&utm_medium=distribute.pc_search_result.none-task-blog-2~all~...
攻防世界-Misc-新手练习记录
热门推荐
Sea_Sand息禅
04-13 1万+
ext3 下载文件文件名是Linux,拿到kali看下文件类型: ext3就是Linux的一个文件系统,strings查看一下有没有flag这样的字符串: flag应该就在这个flag.txt了,把这个文件系统挂载到Linux上: mount linux /mnt 挂上去之后看一下/mnt/下的文件,用命令ls -al /mnt/,可以看到上面strings查找到的O7...
攻防世界-MISC:hit-the-core
m0_56161093的博客
01-16 2815
这是攻防世界MISC高手进阶区的题目,题目如下: 点击下载附件一,解压后得到一个后缀为.core的文件,用string分离一下,得到如下结果: 通过观察发现,每隔四个小写字母就可以看到一个大写字母,刚好是ALEXCTF 照着这个规律找下去,应该就可以得到flag,写个脚本跑一下,结果如下: 提交flag成功,所以这道题的flag如下 ALEXCTF{K33P_7H3_g00D_w0rk_up} 这里附上该道题的脚本 string = 'cvqAeqacLtqazEigwiXobxrCrtuiTzah
攻防世界-Misc-2-1(png图片头详细解释、png图片crc宽度爆破)
Sea_Sand息禅
05-07 8378
先详细解释一下png的文件头: - (固定)八个字节89 50 4E 47 0D 0A 1A 0A为png的文件头 - (固定)四个字节00 00 00 0D(即为十进制的13)代表数据块的长度为13 - (固定)四个字节49 48 44 52(即为ASCII码的IHDR)是文件头数据块的标示(IDCH) - (可变)13位数据块(IHDR) - 前四个字节代表该图片的宽 - 后...
misc高阶 攻防世界_攻防世界MISC高手进阶区MISCall
weixin_29256771的博客
01-27 408
大家好,这次我为大家带来攻防世界misc部分MISCall的writeup。在开始解题前我先讲几句,这道题解题全靠一些Linux指令,所以,建议再看writeup前先了解一下。好,言归正传,先下载附件,发现是一个未知文件,于是binwalk一下。发现是一个bzip2格式的压缩包,于是用命令解压一下。发现有一个是一个ctf文件夹,进入后看到一个flag。打开看看,然而里面并没有flag。这时我们注意...
攻防世界杂项MISCall
weixin_52268949的博客
02-11 728
MISCall 下载下来是一个附件但是不清楚他是个什么东西我先拉入kali看看 发现是一个tar包不过这个包我们需要使用以下的指令来解压 tar -xjvf d02f31b893164d56b7a8e5edb47d9be5 解压下来有个新的目录ctf里面有个flag.txt不过是个假的flag,我们使用ls -a显示隐藏文件夹.git,那我们使用git log查看git记录 使用git stash show校验列表存储的文件 使用git stash apply复原文件发现一个s.py文件 即可获
攻防世界MISCMISCall
ki10Moc的博客
04-19 351
前言 web(菜)狗来试水MISC 这道题目也让我学会了一些操作指令的运用和对git stash的基本理解。 话不多说,直接上题。 WP 下载完附件是个什么文件都不知道,拉到kali里进行操作。 发现这个里面应该有个压缩包。 之间的团队比赛认识了binwalk(菜B过程历历在目)。 就直接使用 binwalk -e 文件名 本来以为发现了flag,但打开后… 没事,毕竟是年轻人… 既然发现了压缩包,这里就再试试解压这个文件。 解压的指令还要去网上找… 使用 tar xjvf 文件名 这里附上师傅
攻防世界 misc MISCall
qq_43312665的博客
02-07 2412
参考地址
攻防世界——MISCall
qq_46927150的博客
05-01 1560
MISCall 题目来源: noconname-2014-quals 题目描述:没有提示 附件是一个Bzip2文件(选可看到,为了方便,改了下文件名) 也可以使用命令 binwalk misc(文件名)查看文件类型 使用命令tar xjvf misc(文件名)解压 解压命令可参考https://www.cnblogs.com/yhjoker/p/7568680.html#tar 解压后会有...
攻防世界_MISC_进阶区_MIScall_WriteUp
qq_45434762的博客
03-05 509
1.下载文件发现是bzip格式,进行解压 2.使用 tar进行解压 tar -xjvf d02f31b893164d56b7a8e5edb47d9be5 3.查看解压后的目录,发现flag.txt,打开发现什么也没有 4.解压时发现git目录,使用git log查看git记录 5.使用git stash list查看修改列表 6.使用git stash show校验列表存储的文件 ...
攻防世界 - MISCall
zzxyccxc的博客
03-24 219
1.下载附件,发现文件没有后缀名,将文件拉入kali,使用file命令,得知文件是bzip文件(这里为了方便我将文件名修改为1)这里报错的原因是因为kali上的python环境是python3的,在执行print函数时需要加上括号。发现多了一个s.py文件,我们使用命令 git stash apply 将文件修复。在刚刚解压bzip2文件时,看到了git目录,使用命令 git log 查看日志。解压后的文件夹只有一个flag.txt文件,打开文件,里面没有我们需要的flag。
攻防世界 - misc部分
qq_45653588的博客
07-25 336
0X00.pdf 下载得到一个PDF文件,打开是一张图片 观察了一下没发现什么异样,尝试Ctrl+a选择全部,发现间有处阴影 将其复制下来粘贴,得到flag。 0X01. give_you_flag 下载附件得到一张图片,打开后是一张动图,观察了一遍,发现在最后的时候会有一个一闪而过的二维码,于是将其拖入PS 因为二维码的三个角落的定位符缺失了,无法扫码,所以要先对其进行修补 扫码得到flag。 0X02. stegano 下载附件得到一个PDF文件,满篇的文字,尝试查看文件属性没有什么有用信息
攻防世界misc1-misc
08-29
很抱歉,但是根据提供的引用内容,没有找到关于攻防世界misc1-misc的具体信息。如果有更多的信息或者题目细节,请提供更多内容,我会尽力为您解答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [攻防世界misc2-1杂项](https://download.csdn.net/download/m0_59188912/87094620)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [攻防世界misc进阶(1~10关)](https://blog.csdn.net/weixin_53105784/article/details/115310984)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值