tryhackme GitHappens

最新推荐文章于 2025-06-07 21:22:02 发布

光迹ovo

最新推荐文章于 2025-06-07 21:22:02 发布

阅读量101

点赞数 1

文章标签： web安全

本文链接：https://blog.youkuaiyun.com/m0_64348326/article/details/131491567

版权

文章讲述了通过nmap发现只开放了80端口，后续使用dirsearch工具检测到.git目录泄露。利用GitTools的gitdumper.sh脚本恢复源码，并在/data/git_happens目录下查看git提交日志，通过gitdiff进行版本差异对比，找到了名为secretkey的重要信息。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

信息收集

1.nmap扫描只有一个80端口开放

2.dirsearch扫描目录发现.git泄露。

git恢复

1.利用工具GitTools来恢复源码，转到Dumper目录下，运行：./gitdumper.sh http://10.10.107.33/.git/ /data/git_happens

2.恢复后到目录/data/git_happens下，查看git提交日志：git log

3.执行git diff 395e087334d613d5e423cdf8f7be27196a360459，比较版本差异，在index.html发现secret key：

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

光迹ovo

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

TryhackMe Brains

m0_57363026的博客

03-31

899

欢迎来到 Brains 挑战赛，这是 TryHackMe 黑客马拉松的一部分！所有大脑聚集在一起，打造一个工程奇迹;然而，似乎有陌生人找到了进入。首先部署计算机;单击此任务右上角的按钮，为该房间部署虚拟机。注意：请等待机器 4 - 6 分钟以完全启动。现在是检测部分。IT 部门为我们提供了其中一台服务器，该服务器因攻击而受损。作为取证分析师，我们的任务是检查主机并识别攻击者在漏洞利用后阶段的足迹。实验室连接在继续之前，请部署计算机。部署计算机时，将为其分配一个 IP 地址：。

tryhackme

2303_80978034的博客

04-21

2239

TryHackMe是一个在线的网络安全学习平台，旨在帮助用户学习和提升网络安全技能。它提供了一系列的虚拟实验室和挑战，供用户进行实践和学习。通过TryHackMe，用户可以学习到各种网络安全相关的知识和技术，如渗透测试、漏洞利用、密码破解、网络分析等。TryHackMe的特点包括：.Web(网络安全) Web是CTF竞赛中主要的题型之一，题目涉及到许多常见的WEB漏洞，诸如XSS、文件包含、代码执行、上传漏洞、SQL注入。也有一些简单的关于网络基础知识的考察，例如返回包、TCP-IP、数据包内容和构造。可

参与评论您还未登录，请先登录后发表或查看评论

Kali 连接 TryHackMe

2301_79700060的博客

03-20

822

改文件 thm-troubleshoot 为 thm-troubleshoot.sh 然后运行，会分配一个 ip 地址，下载好后文件默认的命名规则就是你的 username.ovpn，然后运行下面命令。当然主机可以通过走 kali 的 vpn 流量来进行访问，kali 下载。然后开启 ssh 服务，并执行下面命令开启 socks5 代理。然后访问 10.10.10.10 验证一下。通过 bp 配置主机的 socks5 代理。访问下载 openvpn 配置文件。开启 bp 代理访问测试。

如何注册TryHackMe

weixin_55638029的博客

10-21

3705

2023年10月，我了解到OSCP，萌生了拿下OSCP的想法。后来刷B站，在一条介绍TryHackMe的视频下面，有一条评论提到了注册的方法：可以安装Header Editor插件，重定向url。点击规则列表，导入成功，就可以重新注册TryHackMe了，这时就会出现Google的人机验证。查询网页，有的说要特殊上网手段，要搞网络代理什么什么的，愣是没搞明白。，点击Join for FREE,输入注册信息，点击提交之后，就开始报错。点击进去，导入下载规则——下面的代码（存到本地，命名后缀为.json）。

TryHackMe-RazorBlack

M1n9K1n9的博客

01-06

781

这些家伙称自己为黑客。你能告诉他们谁是老板吗？不出意外你可能会跟我一样，靶机特别卡，靶机重启很多遍才能完成一两个操作，我也发现了除了官方出的room，其他第三方的与AD相关的room都特别卡。

tryhackme——Enumeration

qq_55202378的博客

03-24

1066

本节的前提是：在目标系统上拥有管理员或root权限，为下一步内网横向做信息收集。

Tryhackme blue

孤勇傻兔的博客

12-27

2074

前提 openvpn连入内网：下载配置文件，链接内网后启动靶机任务1 主机扫描 command：nmap -sV -vv --script vuln 10.10.78.216 任务2 启动msf msfconsole exploit/windows/smb/ms17_010_eternalblue 目标ip RHOST必须设置的，但是注意，不是直接填rhost，而是要填RHOSTS run/exploit 反复尝试，多次重启靶机都失败之后，终于想起来修改LHOST，vpn连入了靶机内网当然要

TryHackMe新手村

weixin_55154296的博客

04-17

9293

TryHackMe 最近在外网发现了一个在线黑客学习网站:TryHackMe ，缺点是好像需要一些上网技巧，而且全英，免费用户每天只能用一小时，付费（大概一个月6、70）无限制. 以下附上刚入门时的坑在tutorial的第一个问题，问的是 Follow the steps in this task. What is the flag text shown on the website of the machine you started on this task? 意思我都读懂了，但是我填flag、c

Tryhackme-Smol

LYL768976的博客

02-15

823

关于wordpress插件漏洞，以及John The Ripper爆破

tryhackme-writeups:可在TryHackMe.com上获得有关ROOMS的文章

03-09

TryHackMe撰写是一个免费的在线平台，可通过您的浏览器使用动手练习和实验来学习网络安全！客房姓名困难简单简单简单简单中等的简单简单简单简单中等的中等的

Tryhackme-Writeups:到目前为止，我的每个tryhackme房间的文字记录已完成

03-20

Tryhackme-Writeups 到目前为止，我的每个tryhackme房间的文字记录已完成关于我：我自己Kartikey Jain，我是一名初学者Ethical Hacker，只是好奇事情如何破裂，我认为这现在成为我的激情，很高兴学习新概念。

TryHackMeTeam:TryHackMe

03-10

这是dalemazza和P41ntP4rr0t制造的TryHackMe上对初学者友好的盒子。让我们尝试一下！端口扫描：我首先进行了NMap扫描： sudo nmap -vv -sS -sC -sV -oN nmap-out {MACHINE_IP} 它返回了以下端口： PORT STATE...

try-hack-me:TryHackMe.com实验室

04-04

"TryHackMe: TryHackMe.com实验室"是一个在线学习平台，专注于网络安全和渗透测试教育。这个平台提供了一系列的虚拟机（VMs）和教程，让初学者和经验丰富的IT专业人士能够提升他们的黑客防御和攻击技术。通过参与...

【网络安全】SRC漏洞挖掘思路/手法分享

等风来

06-03

284

本文总结了多个实用的渗透测试技巧，涵盖接口安全、权限管理、数据泄露等多个方面。主要包括：主机URL复制差异、GET请求并发实现、密码明文获取方法、文件上传黑名单绕过、优惠券逻辑漏洞测试、用户信息越权访问、多重参数修改越权、复杂ID收集技巧、参数删除实现越权、权限管理参数空值测试、Cookie参数越权、Host头修改越权、并发测试场景、HTTP方法滥用、前端限制绕过、分隔符注入攻击、脏数据绕过频率限制、数组参数篡改以及邀请权限提升漏洞等

Bugku-CTF-Web安全最佳刷题路线

最新发布

ailx10

06-07

415

《CTF刷题路线：Web安全从入门到进阶》摘要：本文为网络安全爱好者提供Bugku-CTF平台Web安全方向的系统性刷题路线。按照难度系数划分为5个等级，涵盖基础到高阶的Web安全知识点。从简单的查看源代码、绕过前端限制等基础操作（难度1），到SQL注入、文件包含（难度3），再到XSS、反序列化等高级漏洞利用（难度4-5）。每道题目都标注了核心考察点，如Burp使用、PHP伪协议、Flask模板注入等，帮助学习者循序渐进掌握Web安全攻防技能。作者ailx10作为网络安全领域优秀答主，分享其整理的实战刷题

零基础在实践中学习网络安全-皮卡丘靶场（第十一期-目录遍历模块）

2404_89737060的博客

06-06

261

最适和新手学习的皮卡丘靶场教学

零基础在实践中学习网络安全-皮卡丘靶场（第八期-Unsafe Filedownload模块）

2404_89737060的博客

06-03

391

皮卡丘靶场之第八期-Unsafe Filedownload模块，最适合新手的靶场讲解

网络安全：钓鱼邮件、虚假网站与诈骗信息的预防与应对

毒果的博客

06-03

1003

钓鱼邮件、虚假网站、短信诈骗和电话欺诈等网络安全威胁严重影响着个人和企业的信息安全与财产安全。通过总结项目实践经验，掌握关键技术要点，加强多方协作和用户教育，我们能够构建起有效的防御体系，降低网络诈骗的风险。在网络安全这场没有硝烟的战争中，只有持续学习、不断创新，才能守护好数字世界的安全防线。

hive设置map和reduce数

03-21

Hive中可以通过以下语句来设置Map和Reduce的数量： SET mapreduce.job.maps=<number>; SET mapreduce.job.reduces=<number>; 其中，<number>为你想要设置的Map或Reduce数量。这两个参数分别控制Map和Reduce任务的数量，可以根据数据量和计算资源来进行调整。