CTFHub-ctfhub-Git泄露-Log

CTFHub-ctfhub-Git泄露-Log

当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题

1、dirsearch扫描

github上下载dirsearch-master

命令F:\工具\sql_zhuru\python27>F:\工具\sql_zhuru\python27\python.exe E:\tools\dirsearch-master\dirsearch.py -u "http://challenge-2fde69b686edf5c3.sandbox.ctfhub.com:10800/" -e**
新手第一次使用会出现下面这样

解决方法

pip freeze > requirements.txt

pip install -r requirements.txt

再用命令F:\工具\sql_zhuru\python27>F:\工具\sql_zhuru\python27\python.exe E:\tools\dirsearch-master\dirsearch.py -u "http://challenge-2fde69b686edf5c3.sandbox.ctfhub.com:10800/" -e**
然后还是不行

这里是一个坑换成python3就行了

由此可见存在git泄露

2、用git进行克隆

先去github下载GitHack-master

进入GitHack-master目录
上方输入cmd
下面步骤一步都不能少
然后创建用户名git config --global user.name xxxxx
创建邮箱git config --global user.email "这里换上你的邮箱"
然后执行以下命令生成秘钥：ssh-keygen -t rsa -C "这里换上你的邮箱"
然后三次回车确认，需要注意的是.ssh的保存路径
看我的图

我之前创建过了邮箱，所以我下面图中没有创建邮箱步骤

然后打开，把秘钥复制到github上，new ssh key，然后粘贴上去

再用命令就可以了

F:\工具\sql_zhuru\python27\python.exe E:\tools\GitHack-master\GitHack.py challenge-807ff04267c92150.sandbox.ctfhub.com:10800/.git

克隆的内容保存到E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800

3、最后

win+R输入cmd
一步步进入到目录E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800

来到目录后使用git log查看目录

git log

最后git show展示一下拿到key

总结
前期却什么python库，就补上
git ssh key配置不能少
祝师傅们都能够顺利解决！