CTFHub | Log
0x00 前言
CTFHub 专注网络安全、信息安全、白帽子技术的在线学习,实训平台。提供优质的赛事及学习服务,拥有完善的题目环境及配套 writeup ,降低 CTF 学习入门门槛,快速帮助选手成长,跟随主流比赛潮流。
0x01 题目描述
Log:
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题。
![](/assets/blank.gif)
0x02 解题过程
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。因为对工具的不熟悉,且也不太了解 Git泄露漏洞。此题主要参考官方 writeup 来完成。
Ⅰ根据题目描述的提示,在CTFHub上下载基于GitHack工具
https://github.com/BugScanTeam/GitHack
Ⅱ终端打开GitHack工具所在目录
Ⅲ使用GitHack工具clone题目源码到本地目录下,工具运行需要一会时间
python2 GitHack.py http://challenge-66aef77fe3416661.sandbox.ctfhub.com:10800/.git/
解释说明:
python2 表示我的 py2 程序名称,是为了与 py3 共存而设置更改的名称
Ⅳ在GitHack工具的dist目录中打开刚才clone的网站目录文件
Ⅴ在终端打开clone的目录路径,并使用git log命令查看其历史记录
git log #查看历史记录
解释说明:
remove flag 表示当前版本
add flag 表示这次提交的版本
init 表示初始的版本
Ⅵ使用git diff命令可以对比提交版本,对比这三个版本发现在add flag中获得此题flag
git diff 4f116709933b4392a3a3ec62a6d139112104a6d3
0x03 Git简要了解
Git 是一个开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。是为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。
1.git diff命令
git diff 命令用于显示提交和工作树等之间的更改。此命令比较的是工作目录中当前文件和暂存区域快照之间的差异,也就是修改之后还没有暂存起来的变化内容。
git diff <file> # 比较当前文件和暂存区文件差异 git diffgit diff <id1><id1><id2> # 比较两次提交之间的差异git diff <branch1> <branch2> # 在两个分支之间比较git diff --staged # 比较暂存区和版本库差异git diff --cached # 比较暂存区和版本库差异git diff --stat # 仅仅比较统计信息
2.git clone命令
git clone 命令将存储库克隆到新目录中。
git clone <版本库的网址/.git/>
3.git reset命令
git reset 命令用于将当前 HEAD 复位到指定状态。一般用于撤消之前的一些操作
git reset --hard 4f116709933b4392a3a3ec62a6d139112104a6d3
0x04 参考文献
[1].CTFHub. Log[EB/OL]. [2022-10-07]. https://www.wolai.com/ctfhub/5YAMX5UKxbg5Z2XBCHhxPY.
[2].易百教程. Git教程[EB/OL]. [2022-10-07]. https://www.yiibai.com/git/git_diff.html.
0x05 总结
文章内容为学习记录的笔记,由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。
CTFHub | Log相关推荐
- CTFHUB log
克隆githack后 先进入GitHack目录 python GitHack.py 网址/.git 扫出来的东西没看懂 发现不是简单的扫描出结果 翻阅了别人的wp之后 发现还是要先用dirsearch ...
- ctfhub git log泄露
ctfhub Git LOG泄露 一.解题思路 1.使用目录扫描工具,获得.git泄露,因为目录扫描比较简单,这里不再赘述: 2.工欲善其事,必先利其器:下载GitHack工具 下载链接如下所示: h ...
- ctfhub中Git泄露-log
WP--ctfhub中git泄露 题目如下: 1.标题提醒log(git目录下的过去日志),使用工具dirsearch(Windows本机)和githack(kali中),进入dirsearch目录下 ...
- ctfhub Git泄露学习
git泄露总结 CTFHUB之GIT泄露 Git常用命令及方法大全 - He_quotes - 博客园 GitHub - BugScanTeam/GitHack: .git 泄漏利用工具,可还原历史版 ...
- CTFHUB技能树题目解析(持续更新)
CTFHUB题目解析(持续更新) Web 信息泄露 目录遍历 PHPINFO 备份文件下载 网站源码 bak文件 vim缓存 .Ds_Store Git泄露 Log Stash Index SVN泄露 ...
- CTFHub | Stash
0x00 前言 CTFHub 专注网络安全.信息安全.白帽子技术的在线学习,实训平台.提供优质的赛事及学习服务,拥有完善的题目环境及配套 writeup ,降低 CTF 学习入门门槛,快速帮助选手成长 ...
- CTFHub信息泄露
文章目录 phpinfo 备份文件下载 网站源码 bak文件 vim缓存 .DS_Store Git泄露 Log stash Index SVN泄露 HG泄露 phpinfo 直接Ctrl+f搜索fl ...
- CTFHUB技能树(全详细解析含进阶)
CTFHUB技能树 HTTP协议 请求树 302跳转 Cookie 基础认证 响应包源代码 信息泄露 目录遍历 phpinfo 备份文件下载 网站源码 bak文件 vim缓存 .DS_Store Gi ...
- CTFHUB技能树之Web
web web前置技能 参考链接 -操作系统 -数据库 -HTML/CSS -程序语言 HTTP协议 0x01 请求方式 1)HTTP Method 是可以自定义的,并且区分大小写 可以通过抓包更改其 ...
最新文章
- max 安装 mysql5.x_MySQL5.7安装
- 哈工大计算机学院庞,奋斗在知足与知不足之间――我与我的导师计算机学院马培军教授二三事...
- 简答String类的操作特点以及static方法的注意事项
- java socket群聊_java socket来实现私聊和群聊-简易版
- 用python做一个搜索引擎(Pylucene)
- OpenGL基础36:天空盒
- CUDA学习(二十三)
- 102 模拟ssh远程执行命令
- 关于extern的使用
- 圆通问题频发背后的“罪与罚”
- html计时器插件,jQuery计时器插件TimeCircles
- matlab在脚本中用函数,matlab中脚本和函数的怎么调用
- css3学习之文字展示多余的用三个点显示
- 怎么测试网站服务器速度,怎么测试网站速度
- Birds in Forest
- JQ---h5页面上实现微信扫一扫功能
- anr用户无响应问题的解决
- 嵌入式 IIC(I2C)协议
- 全国计算机一级WORD第三套,全国计算机等级考试一级WPSOffice练习题及答案第三套.docx...
- 什么是uboot?uboot有什么用?