CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”

文章目录

  • 一、“Log”
    • 法一、git reset
    • 法二、git diff
  • 二、“Stash”
  • 三、“Index”

一、“Log”

开启环境

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第1张图片
使用dirsearch扫描,发现git泄露

python dirsearch.py -u <url> -e *

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第2张图片
使用Githack克隆目录

注意,需要python2环境和安装Git

python2 Githack.py <url>

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第3张图片

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第4张图片
既然提示了log那就查看log记录

git log

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第5张图片
发现有添加过flag的记录
此时有两种思路

法一、git reset

使用git reset回滚到上一版本,得到flag文件

git reset --hard <commit>

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第6张图片

法二、git diff

使用git diff比较现版本与上一版本的区别得到flag

git diff <commit>

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第7张图片

二、“Stash”

同样地,克隆到本地

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第8张图片
打开./.git发现stash文件

stash可以理解为git的缓存文件

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第9张图片
使用notepad++打开得到版本号信息

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第10张图片
之后使用回滚或比较均能得到flag

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第11张图片

三、“Index”

克隆到本地后直接可以获得flag

CTFHub_技能树_Web_信息泄露_Git泄露——“Log”、“Stash”、“Index”_第12张图片

欢迎在评论区留言
感谢浏览

你可能感兴趣的:(#,Web,git,安全,ctf,web,git泄露)