0%

Web基础之信息泄露(下)

Git泄露

以下需要用到python脚本:Githack
https://github.com/BugScanTeam/GitHack

log

image

知识点

查看历史记录

1
git log

切换版本

1
git reset

对比两次提交

1
git diff

题解

  1. 扫描发现 .git 泄露

    image

  2. 使用 GitHack 工具 clone 目标源代码到本地

    image

  3. 执行 git log 查看历史记录

    image

  4. 执行 git show 查看提交详情

    image

    Stash

    知识点

    git 泄露 .git/refs/stash

stash 用于保存 git 工作状态到 git 栈,在需要的时候再恢复。

解题

  1. 尝试访问敏感目录,发现.git目录http://challenge-b48a889fd49f7430.sandbox.ctfhub.com:10080/.git/config

  2. 利用GitHack 工具将网站源代码 clone 到本地

    1
    python GitHack.py http://challenge-b48a889fd49f7430.sandbox.ctfhub.com:10080/.git/

    image

  3. 查看 .git/refs/stash 找到 stash 对应的 hash

    image

  4. git diff 9dbafcb8c4629b4b843991b6ebe5eca874812fc4 得到flag

    image

Index

image

题解

image
image