CTFHub-Git泄露-Log

最新推荐文章于 2025-07-12 12:51:47 发布
最新推荐文章于 2025-07-12 12:51:47 发布
阅读量1.4k 收藏 6
点赞数 3
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: CTFHub-Git泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/130614286
文章介绍了如何通过dirsearch发现.git泄露,使用GitHack工具在Linux环境下下载源码。在查看git历史记录后,确定flag可能存在于addflag版本。提供了两种解题方法,一是用gitdiff比较版本差异,二是通过gitreset回退到特定版本获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

git是一个版本控制工具,通过泄露的.git文件可还原代码

题目如下

wp

1. dirsearch目录扫描

发现存在git泄露,根据提示下载对应git利用工具GitHack,这个工具的特点是能还原历史版本

2. 使用工具下载源码

tips: 最好在linux中操作,注意是python2

python2 GitHack.py http://challenge-5f6194d6f78ceaa2.sandbox.ctfhub.com:10800/.git/

出现success则成功

进入 /dist/challenge-5f6194d6f78ceaa2.sandbox.ctfhub.com_10800 目录下,看到除了这两个文件啥也没有

3. git命令查看

首先确保系统中有git命令

git log 显示仓库历史记录中的所有提交,从近到远

我们可以看到有三次操作,一次是init初始化现有仓库,经过这次命令就会产生.log文件。之后执行了add flag和remove flag。可以判断,flag应该是在add flag的那个版本,我们现在是在remove flag这个版本。

所以,这题有两种解法:

  • 第一种是直接查看add flag和remove flag这两个版本的不同,git diff可以实现
  • 第二种是回退到之前的版本,git reset可以实现

使用第一种方法

git diff e626f5b962aed348671c18c107e9e4ea54e354c7

或者第二种方法,回退版本,得到一个txt文件,打开得到flag

CTFHUB-git泄露-log
KVKVKVKVz的博客
08-01 1180
我是在kail-linux中安装的这两个工具,在kail中安装时会碰到了各种各样的问题,但是在kail中使用工具是真的方便接下来让我们先来安装这两个软件吧。扫完之后就会生成一个文件然后我们要访问这个文件(进入到这个目录)1.dirsearch(目录扫描工具)1.dirsearch(目录扫描工具)2.GitHack(泄露利用工具)2.GitHack(泄露利用工具)这里需要先进入GitHack目录。在此次题目中需要用到的工具有。OK两个工具都已安装完毕。到这里我们就安装好了。首先我们进行目录扫描。...
CTFHUB -web-Git信息泄露
2301_76815548的博客
04-26 1241
注意GitHck要在python2 的环境下而开本生自带,上面的dirsearch在python3的环境下,而kail也有python3 的环境,所以用的时候要指明用python2,不然会报错。安装dirsearch---apt-get install dirsearch。先用管理员权限进行跟新------apt-get update。----.在命令行输入sudo passwd root-git reset --hard<分支名>addflag。----按照提示操作就可以设置新的root密码。
CTFHubgit泄露-log
qq_50556869的博客
11-29 2998
文章目录: 1.git泄露 2.解题流程 3.flag 一、git泄露: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 二、解题流程: 1.由于之前的ctfhubgit这题目上存在工具差别,有些版本的githack用相同的方法不能获得flag,所以下面统一用BugScanTeam的GitHack githack链接 2.进入环境 3.使用dirsearch扫描目录 dirsearch..
CTFHub————Web{信息泄露[Git泄露(log)]}
最新发布
Lidisheng2027的博客
07-12 369
先读题题目中说可以使用BugScanTeam和GitHack完成,我这里以githack为例。
CTFHub-ctfhub-Git泄露-Log
wrypot的博客
05-18 864
win+R输入cmd一步步进入到目录E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800来到目录后使用git log查看目录git log最后git show展示一下拿到key总结前期却什么python库,就补上git ssh key配置不能少祝师傅们都能够顺利解决!
CTFHub技能树-Git泄漏-Log
m0_74313947的博客
09-05 2372
具体利用思路 :利用爬虫递归下载.git目录的所有文件利用git命令对网站的commit历史进行查看利用git命令对网站的源码进行恢复具体操作 :演示网站 : http://www.xxx.com/.git/1.在虚拟机中利用wget对该目录进行递归下载(-r)--recursive(递归)-k, --convert-links(转换链接)-p, --page-requisites(页面必需元素)-np, --no-parent(不追溯至父级)
CTFHUBgit-log泄露
ppkr_itt的博客
10-21 417
这时候就需要我们打开虚拟机kali,dirsearch扫描一下网址,-x是不显示503的页面,要不然会显示很多个,200就是成功了的。我们进入到放有/GitHack这个软件的目录中,使用这条命令,GitHack.py后面拼接网址加/.git。进入dist文件夹中,ls看文件,chasllenge就是咱们需要的文件。扫描出来我们直接拼接/git/index,打开文件发现是乱码。我们下一步需要用到GitHack这个工具。git show 得出结果。
CTFHub | Log
尼泊罗河伯的博客
10-07 1784
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。因为对工具的不熟悉,且也不太了解 Git泄露漏洞。此题主要参考官方 writeup 来完成。
CTFHub-Web-信息泄露-Git泄露
qq_54037445的博客
11-18 3656
CTFHub-Web-信息泄露-Git泄露 Log、Stash、Index
CTFHUB-Git泄露
qq_62078839的博客
07-21 676
首先下载GitHack。
CTFHUB-web-信息泄漏
2401_84254530的博客
07-20 1378
Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git 目录,用来记录代码的变更记录等。通过了解知道vim缓存文件的后缀名为 .swp 根据提示我们知道flag在index.php中,而一般情况下vim缓存文件都是隐藏的,我们要找的他的flag就可以直接在.index.php后面跟一个.swp。这就引起了git泄露漏洞。但是我们在这么输入过后,得到的是“未找到”,但是却得到了一份文件,我们下载好这份文件,并使用记事本打开,就可以得到flag。
ctfhubGit泄露-log
weixin_50683638的博客
11-23 2990
WP——ctfhubgit泄露 题目如下: 1.标题提醒loggit目录下的过去日志),使用工具dirsearch(Windows本机)和githack(kali中),进入dirsearch目录下运行cmd, https://github.com/BugScanTeam/GitHackGitHack下载地址,将压缩包拖进kali python dirsearch -u <url> -e * 扫描中看到有git目录,用GitHack扫描目录。 在kali中用githack查看.git
CTFhub技能树 web 信息泄露 Git泄露 Log
FFFFFFMVPhat的博客
11-16 506
克隆githack后 先进入GitHack目录 python GitHack.py 网址/.git 扫出来的东西没看懂 发现不是简单的扫描出结果 翻阅了别人的wp之后 发现还是要先用dirsearch扫,扫出git文件后 用GitHack恢复历史文件 打开后下载了一个这样的文件 同样,用git log xxxxxx 查看日志的方式也可以 查看日志后我发现,一共进行了三次操作 init初始化(查询百度翻译) 所以说第二步是add flag Remo...
ctfhub-git泄露-log
SinAlone的博客
07-02 770
提示:当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 这题明确提示有git泄露漏洞,显然你需要一个工具githack 1.python2可以用githack ------windos的话去网站上下载 https://github.com/lijiejie/GitHack 上不去github就用镜像网站 https://git.sdut.me/lijiejie/GitHack -------linux可以
CTFHUBGIT泄露
m0_56988395的博客
03-03 2339
目录 1、Log 2、Stash 3、Index 1、Log 使用dirsearch扫一下 python3 dirsearch.py -u http://challenge-e19c73ec65497ff1.sandbox.ctfhub.com:10800/ -e * 发现有git泄露,这里建议可以先学习一下Git命令 利用scrabble-master克隆下来看看 ./scrabble http://challenge-e19c73ec65497ff1.sandbox.ctf
CTFHub:web前置技能-信息泄露-Git泄露-Log
wdnmddbl的博客
06-06 993
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题,自行下载此题工具:链接:GitHack下载点我(此工具已归档,文章后我会提供另一种差不多的但更方便的工具)
CTFHub | Web——Git泄露Log
2301_76435948的博客
09-20 827
本题需要用到GitHack工具 ,上面详细介绍了安装过程,这里就不过多写了,开始正题! 1. 在控制台执行命令安装GitHack 2. 进入GitHack安装目录,对目标网址进行扫描
始章——ctfhub git泄露-log
qq_50315893的博客
01-08 357
git泄露-log 目录扫描工具-dirsearch 下载dirsearch git clone https://github.com/maurosoria/dirsearch 进入虚拟机使用dirsearch进行扫描,先进入dirsearch目录 扫描命令 python3 dirsearch.py -u <url> -e * 使用githack工具处理git泄露情况,同样首先进入githack目录 python2 GitHack.py <url.git> 这里要记
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py http://challenge-e87e0210287ba7b3.sandbox.ctfhub.com:10800/.git/"来使用GitHack工具进行扫描和利用。同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,这些工具只是为了帮助你快速发现ctfhub-git泄露,真正的挖掘过程并不会像这样直接告诉你哪里有泄露,需要自己去尝试和探索。此外,Git这一工具的使用也相当复杂,需要深入学习和实践才能熟练掌握。所以,在学习的道路上还有很长的路要走,希望你能坚持学习,共同进步!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值