CTFHUB -web-Git信息泄露

1.什么是git信息泄露

"Git信息泄露"是指在使用Git版本控制系统时，敏感信息（如源代码、配置文件、密码、密钥等）不小心被公开或暴露给未经授权的人员

2获得flag方法

在kail上下载dirsearch，GitHck kai最好用root权限

• kail默认情况下不是root权限，开启root权限

----.在命令行输入sudo passwd  root-

----按照提示操作就可以设置新的root密码

---.在命令行输入su  root即可进入root用户，输入密码就可以了

•   在kail上下载dirsearch

先用管理员权限进行跟新------apt-get update

安装dirsearch---apt-get install dirsearch

使用方法：dirsearch -u 路径 -e 扩展名扫描选项 -t 进程数

想了解跟多选项 dirsearch --help 或者man dirsearch

• 在kail上下载GitHck

git clone https://github.com/BugScanTeam/GitHack 先克隆这个网站 ，第一次下载的时候会报错，要编辑kail 的hosts文件

┌──(root㉿kali)-[~]
└─# vim /etc/hosts  

这个方法是一个大佬写的Kali2022git clone失败解决方案_kaliclone-CSDN博客，然后就下载成功了

然后下载git确保git在环境变量里面 apt-get install git

使用方法：python2 路径.git

注意GitHck要在python2 的环境下而开本生自带，上面的dirsearch在python3的环境下，而kail也有python3 的环境，所以用的时候要指明用python2，不然会报错

思路：dirsearch 这个工具来扫描目标网站的目录和文件。dirsearch 是一个Web目录扫描工具，它尝试猜测和发现Web服务器上的隐藏目录和文件。发现有.git泄露，而GitHack发现并修复GitHub仓库中的潜在安全问题。它是一个自动化扫描工具，能够检查GitHub上的各种安全设置，包括但不限于私有分支泄露、敏感文件泄露、权限异常以及Webhook安全。GitHack的核心是基于Python编写的爬虫模块，通过GitHub的公开API进行数据抓取和解析。一旦发现问题，它会生成详细的报告，指导用户如何修复这些问题。

发现有Git信息泄露

进入到这个文件，扫描内容存储在里面

get log 查看历史

发现有三个flag

获取flag

1.版本对比 git diff addflag<分支名> int<分支名>

2.版本退回

git reset --hard<分支名>addflag

这个方法是一个大佬写的CTFHub-Web-信息泄露-Git泄露_ctfhub git泄露-CSDN博客