本文介绍了git的基本概念,指出在配置不当时可能导致git目录泄露。通过dirsearch和githack工具,作者展示了如何在CTF场景中检测并利用git泄露漏洞,包括克隆仓库、执行git命令获取flag的过程。
首先,介绍一下git。Git是一个开源的分布式版本控制系统 ,简单的可以理解为Git 是一个内容寻址文件系统,也就是说Git 的核心部分是键值对数据库。 当我们向 Git 仓库中插入任意类型的内容(开发者们在其中做的版本信息修改之类的操作),它会返回一个唯一的键,通过该键可以在任意时刻再次取回该内容。
git泄露漏洞成因:在配置不当的情况下,可能会将“.git”文件(git目录:使用git init初始化git仓库的时候,生成的隐藏目录,git会将所有的文件,目录,提交等转化为git对象,压缩存储在这个文件夹当中)直接部署到线上环境,这就造成了git泄露问题。
检测方法还是dirsearch
就是引入了新的工具:githack
介绍实战的话,还是以ctfhub为主
看题目已经给了提示
直接用dirsearch扫
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
