CTFHub | Web——Git泄露之Log_ctfhubwebgit泄露

Log

题目：

当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题

小白又遇到盲区了！！这题做了好久啊，查了好多资料，结合几位大神的博客，再进行了一番操作，开始时GitHack安装失败，然后开始找解决办法，几经波折，终于拿到flag了，开心~~ 记录一下解题思路。

小知识

1. GitHack是一个.git泄露利用脚本，通过泄露的.git文件夹下的文件，重建还原工程源代码。

2. GitHack在kali上安装及使用：

   1. 在kali控制台执行以下命令，下载GitHack
      

      （1）如果出现
      fatal: unable to access 'https://github.comxxxxxx': Failed to connect to xxxxxxxx
      那么可以将命令行里的 http 改成 git 重新执行
      还可以输入命令
      git config --global url.“https://”.insteadOf git://

      （2）如果实在不行，可以直接访问下载zip后解压，然后拖动到虚拟机里面：githack下载链接地址

   2. 进入GitHack目录
      
      

   3. 使用GitHack扫描网站
      python GitHack.py 【网址】/.git
      如：python2 GitHack.py http://challenge-44e129ddc83312d0.sandbox.ctfhub.com:10800/.git
      

   当出现GitHack图标时，才表示成功

   4. git常用的命令

      • git log 查看日志记录
      • git reset 回退指定版本
      • git dirr 对比两次提交

   5. 多学一点：git | 菜鸟教程

题解

本题需要用到GitHack工具 ，上面详细介绍了安装过程，这里就不过多写了，开始正题！

1. 在控制台执行命令安装GitHack
2. 进入GitHack安装目录，对目标网址进行扫描
   
   会增加一个dist文件夹，里面生成了一个以网址命名的文件夹
   
3. 进入GitHack目录
   
4. 查看日志信息，寻找flag足迹
   
5. 发现中间那个版本相比于上一版本add flag了，所以，需要回退到增加了flag的那个文件版本
   
6. 回到目录下查看，发现多了个txt文件
   
7. 打开txt文件，里面就是心心念念的flag！
   

如果觉得文章对你有一点点帮助，给个免费的赞吧，如果喜欢本人写的文章，麻烦给个关注，不迷路哦！