0x00 前言

CTFHub 专注网络安全、信息安全、白帽子技术的在线学习,实训平台。提供优质的赛事及学习服务,拥有完善的题目环境及配套 writeup ,降低 CTF 学习入门门槛,快速帮助选手成长,跟随主流比赛潮流。

0x01 题目描述

Log:

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题。

网页显示内容

0x02 解题过程

根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。因为对工具的不熟悉,且也不太了解 Git泄露漏洞。此题主要参考官方 writeup 来完成。

根据题目描述的提示,在CTFHub上下载基于GitHack工具

https://github.com/BugScanTeam/GitHack

终端打开GitHack工具所在目录

使用GitHack工具clone题目源码到本地目录下,工具运行需要一会时间

python2 GitHack.py http://challenge-66aef77fe3416661.sandbox.ctfhub.com:10800/.git/

解释说明:

python2 表示我的 py2 程序名称,是为了与 py3 共存而设置更改的名称

在GitHack工具的dist目录中打开刚才clone的网站目录文件

在终端打开clone的目录路径,并使用git log命令查看其历史记录

git log    #查看历史记录

解释说明:

remove flag 表示当前版本

add flag 表示这次提交的版本

init 表示初始的版本

使用git diff命令可以对比提交版本,对比这三个版本发现在add flag中获得此题flag

git diff 4f116709933b4392a3a3ec62a6d139112104a6d3

0x03 Git简要了解

Git 是一个开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。是为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。

1.git diff命令

git diff 命令用于显示提交和工作树等之间的更改。此命令比较的是工作目录中当前文件和暂存区域快照之间的差异,也就是修改之后还没有暂存起来的变化内容。

git diff <file> # 比较当前文件和暂存区文件差异 git diffgit diff <id1><id1><id2> # 比较两次提交之间的差异git diff <branch1> <branch2> # 在两个分支之间比较git diff --staged # 比较暂存区和版本库差异git diff --cached # 比较暂存区和版本库差异git diff --stat # 仅仅比较统计信息

2.git clone命令

git clone 命令将存储库克隆到新目录中。

git clone <版本库的网址/.git/>

3.git reset命令

git reset 命令用于将当前 HEAD 复位到指定状态。一般用于撤消之前的一些操作

git reset --hard 4f116709933b4392a3a3ec62a6d139112104a6d3

0x04 参考文献

[1].CTFHub. Log[EB/OL]. [2022-10-07]. https://www.wolai.com/ctfhub/5YAMX5UKxbg5Z2XBCHhxPY.

[2].易百教程. Git教程[EB/OL]. [2022-10-07]. https://www.yiibai.com/git/git_diff.html.

0x05 总结

文章内容为学习记录的笔记,由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。

CTFHub | Log相关推荐

  1. CTFHUB log

    克隆githack后 先进入GitHack目录 python GitHack.py 网址/.git 扫出来的东西没看懂 发现不是简单的扫描出结果 翻阅了别人的wp之后 发现还是要先用dirsearch ...

  2. ctfhub git log泄露

    ctfhub Git LOG泄露 一.解题思路 1.使用目录扫描工具,获得.git泄露,因为目录扫描比较简单,这里不再赘述: 2.工欲善其事,必先利其器:下载GitHack工具 下载链接如下所示: h ...

  3. ctfhub中Git泄露-log

    WP--ctfhub中git泄露 题目如下: 1.标题提醒log(git目录下的过去日志),使用工具dirsearch(Windows本机)和githack(kali中),进入dirsearch目录下 ...

  4. ctfhub Git泄露学习

    git泄露总结 CTFHUB之GIT泄露 Git常用命令及方法大全 - He_quotes - 博客园 GitHub - BugScanTeam/GitHack: .git 泄漏利用工具,可还原历史版 ...

  5. CTFHUB技能树题目解析(持续更新)

    CTFHUB题目解析(持续更新) Web 信息泄露 目录遍历 PHPINFO 备份文件下载 网站源码 bak文件 vim缓存 .Ds_Store Git泄露 Log Stash Index SVN泄露 ...

  6. CTFHub | Stash

    0x00 前言 CTFHub 专注网络安全.信息安全.白帽子技术的在线学习,实训平台.提供优质的赛事及学习服务,拥有完善的题目环境及配套 writeup ,降低 CTF 学习入门门槛,快速帮助选手成长 ...

  7. CTFHub信息泄露

    文章目录 phpinfo 备份文件下载 网站源码 bak文件 vim缓存 .DS_Store Git泄露 Log stash Index SVN泄露 HG泄露 phpinfo 直接Ctrl+f搜索fl ...

  8. CTFHUB技能树(全详细解析含进阶)

    CTFHUB技能树 HTTP协议 请求树 302跳转 Cookie 基础认证 响应包源代码 信息泄露 目录遍历 phpinfo 备份文件下载 网站源码 bak文件 vim缓存 .DS_Store Gi ...

  9. CTFHUB技能树之Web

    web web前置技能 参考链接 -操作系统 -数据库 -HTML/CSS -程序语言 HTTP协议 0x01 请求方式 1)HTTP Method 是可以自定义的,并且区分大小写 可以通过抓包更改其 ...

最新文章

  1. max 安装 mysql5.x_MySQL5.7安装
  2. 哈工大计算机学院庞,奋斗在知足与知不足之间――我与我的导师计算机学院马培军教授二三事...
  3. 简答String类的操作特点以及static方法的注意事项
  4. java socket群聊_java socket来实现私聊和群聊-简易版
  5. 用python做一个搜索引擎(Pylucene)
  6. OpenGL基础36:天空盒
  7. CUDA学习(二十三)
  8. 102 模拟ssh远程执行命令
  9. 关于extern的使用
  10. 圆通问题频发背后的“罪与罚”
  11. html计时器插件,jQuery计时器插件TimeCircles
  12. matlab在脚本中用函数,matlab中脚本和函数的怎么调用
  13. css3学习之文字展示多余的用三个点显示
  14. 怎么测试网站服务器速度,怎么测试网站速度
  15. Birds in Forest
  16. JQ---h5页面上实现微信扫一扫功能
  17. anr用户无响应问题的解决
  18. 嵌入式 IIC(I2C)协议
  19. 全国计算机一级WORD第三套,全国计算机等级考试一级WPSOffice练习题及答案第三套.docx...
  20. 什么是uboot?uboot有什么用?

热门文章

  1. DM8168硬件平台
  2. UE4 AWP狙击镜头切换实现!
  3. Linux查看GPU温度和占用
  4. 三分钟告诉你游戏配音软件有哪些
  5. 电压跟随器在电子电路设计中的主要作用
  6. 计算机组成原理 存储芯片容量大小计算
  7. spatialite android,一种基于Android系统的Spatialite空间数据库加密方法与流程
  8. FileSystemObject模型-如何列出目录中的文件(VB6)
  9. 【English】August summary ——Come on!September
  10. 科技创新打破产品边界,定义未来新赛道