Bugku--source

原创 于 2025-06-16 15:30:12 发布 · 313 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

Bugku–source

查看git提交历史获取flag

题目:https://ctf.bugku.com/challenges/detail/id/168.html

image-20250616151953193

启动后访问:

image-20250616152141692

查看网页源代码:

image-20250616152221214

提交显示flag错误。

目录扫描:

image-20250616152303694

可以推测是git泄露,同时查看/flag.txt内容,发现是假flag。

使用wget下载.git目录:

wget http://117.72.52.127:15712/.git/

image-20250616152448131

查看git提交记录:

git reflog

image-20250616152628540

逐一查看,在40c6d51找到flag:

git show 40c6d51

image-20250616152745368

flag{git_is_good_distributed_version_control_system}
Stack0verf1ow
关注
Bugku CTF web——source解题
weixin_71914594的博客
10-16 3498
Bugku——source
Bugku中的source
A272036149的博客
04-16 902
进入环境后 我们首先查看源码可以得到一个flag 这肯定是个假的(已经提交过了确实是个假的) 题目提示要用Linux 这里使用的是kali 我们首先dirsearch一下这个网站 可以看到有.git文件泄露 也可以点开那个链接但是在里面没有找到flag 然后选择下载这个.git文件 然后进入这个文件夹 输入git reflog查看文件状态 可以看到有四个都有flag is here 一个一个查看git show 然后在40c6d51中发现了我们需要的fl
bugku-source(小宇特详解)
小宇的web博客
06-20 4688
bugku-source 1.这里先查看一下源码,发现在源代码中有一个flag.这里的flag当然是假的。 2.题目提示用kali,直接打开kali扫描,我这里用的是gropher 来扫描。这里直接扫出了git,这里利用git漏洞。(这里忘了截图了,小偷一波)。扫描的命令gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt 3.这里将git文件下载,wget -r http://114.6
bugku——source
m0_46607055的博客
10-29 1190
解题思路: source 有源码的意思。 先 Ctrl + u 查看源代码,得到一个错误的flag。 既然是源码泄露,直接上dirsearch 扫描 python3 dirsearch.py -u "your_url" 发现有git泄露 (忘了截图了,见谅) 使用wget 下载源码 wget -r ip/.git -r 参数为 递归,下载所有文件。 若kali没有 wget ,使用以下命令下载 apt-get update apt-get install wget 下载完..
bugkusource
weixin_45942044的博客
03-14 495
进行base 64解码发现解码失败,所以这个flag是假的。输入命令git reflog 显示可引用的历史flag记录。然后使用git show命令挨个查看,最后得到flag。输入命令wget -r 将git下载下来。打开kali,用dirb进行目录扫描。
Bugku-source
qq_51283187的博客
08-11 2096
Bugku-source 第一次用Linux来做题,差点以为要烂题了 看到题目,没有线索.先扫目录,可以用御剑也可以用kali自带的 gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt 然后扫出来发现有git文件 访问一下,发现确实是有很多资源噢 于是乎把它们都下载下来, 这里下载的话不一定要用githack,感觉这个工具现在好难用啊,要python3但是windows环境下我又不会玩,只
ctf.bugku-eval
guanrongl的专栏
10-10 1498
根据题中出现的include函数,怀疑存在文件包含漏洞,flag 在包含的flag.php 文件;后面再看题目的eval函数得知存在代码执行的漏洞,将flag.php的信息获取传递给参数a的值进行代码执行输出flag。2、 可通过 file 函数是把一个文件中的内容读入到一个数组中(如本题:?hello=file('flag.php')来查读取flag.php文件内容。1、利用eval()函数可将函数中的参数当作php代码执行,
Bugku-CTF-聪明的php
m0_52484587的博客
08-04 1101
传递一个参数,可能标记文件的文件名是随机的:于是传一下参,在原网页后面加上/?a=1,发现网页出现了变化3.传入参数,一般情况下是文件包含,或者命令执行,而这道题目比较新颖,使用的是php模板注入4.根据测试2*4=8,确定是smarty模板注入测试phpinfo()函数5.真的是百密一疏,过滤了好多的函数,好在没有把过滤6.没有发现flag,但是发现_12016文件,直接读一波,cat被过滤了,我是用的是more得到flag。
BUGKU--web详解
qq_49422880的博客
05-28 2302
web5-web?前言Web4Web5Web6Web7Web8game1Web11社工-伪造一级目录一级目录 前言   听说bugku的题很适合新手我就来了,感觉前几题都比较简单也没什么好总结的,就从第四题开始吧,后面要是碰到简单的估计只会略微提起几句,大家要是有不理解的知识点,可以私信我。 Web4   就是考察简单的代码审计,只需要传递的what的变量等于flag即可,于是我们可以构造一个payload,用win10的cmd发送,用Burpsuite抓包返包或则firefox的harbar也可以完成这个
Bugku CTF——source
2401_83809941的博客
10-30 1683
而我的本机电脑属于windows系统,所以只能去VMware Workstation Pro这个软件中,安装Linux虚拟机。最好安装Kali Linux,因为Kail是专门设计和用于渗透测试和网络安全评估。我在VM里原来安装的虚拟机是OpenEuler,所以将就用了。(2)输入命令:dnf install -y git。(2)输入命令:git show d256328。(3)输入命令:git show 40c6d51。(1)先切换到文件下载的地方,以便后续操作。(1)输入命令:git reflog。
bugku笔记刷题目的整理
04-12
自己刷bug库题库的一些笔记整理,所有题应该都有吧基本上
bugku--source
qq_51802152的博客
12-14 1238
bugku--source
source--BUGKU
oTT_TTo的博客
05-18 298
利用git show打开每个文件,flag在40c6d51中。wget -r http:// 进行文件下载。打开题目,根据提示使用linux环境。执行命令git reflog。利用kali进行目录扫描。
BugKu Web渗透之source
最新发布
cai_huaer的博客
05-28 702
config之前看过没有什么异常,于是点进logs里面去看,里面有一个HEAD文件。首先我在kali里面查看是否有dirsearch,直接在终端中输入:dirsearch。查看了HEAD和config两个文件,没有发现异常。继续查看,感觉.git的文件很可疑。看起来,第四次的flag是最像的,于是试一下,终于成功。(看到这里我以为做完了,就觉得简单,其实不然。之后在home目录下,可以看到下载下来的文件夹。一般可以进行网站的扫描,用dirsearch。一看就感觉不是的,之后复制过去也提示不对。
BugKu——Web——source
m_de_g的博客
09-02 1636
BugKu——Web——source 一、解题思路 1.查看页面源代码,看到flag 2.base64解密 3.有点奇怪,不过先提交试试 4.果然没有这么简单,根据提示Linux环境,使用Xshell连不上,根据题目提示Source,那肯定是源代码泄露,还有一个提示就是源代码里的tig,有点脑洞是git泄露 wget -r http://114.67.246.176:17920/.git 5.下载下来的文件,进入到目录中 6.执行命令git reflog 7.接下来了就直接使用一个一个文件的测试
bugku source
weixin_63810302的博客
09-28 1340
bugku source
Bugku---web---source
weixin_47450099的博客
05-02 720
Bugku---web---source 网络安全
bugku中web题-source
ShiningDays的博客
10-29 584
下载后,进入下载的文件目录下,输入git reflog命令(是为了查看这个代码仓库的历史版本记录,以便找到可能包含flag的历史版本。通过查看引用日志,找到之前的提交版本信息,比如某个提交可能包含了真正的flag,这样就可以通过查看这些历史版本来寻找解题线索。),可以看到多次提交记录,使用git show可以查看每个提交的详细内容,包括作者提交的信息、修改的文件内容等。可以查看一下目录下的文件,flag.txt中和源码中都不是正确的flag,大概率在.git文件目录下,成功找到正确的flag。
Bugku WEB source githack
03-28
### Bugku WEB项目源码及其通过Githack在线查看的方法 #### 使用Githack访问Bugku WEB项目的源码 Githack 是一种无需克隆即可浏览 GitHub 上托管的仓库内容的服务。它允许开发者直接通过浏览器加载并查看基于分支的内容,而不需要下载整个仓库到本地环境。如果 Bugku 的 WEB 项目已经公开发布在 GitHub 平台上,则可以通过 Githack 提供的 URL 构造方法来实现在线预览。 假设 Bugku 的 WEB 项目位于 `https://github.com/username/repo` 中,那么可以按照以下方式构建 Githack 访问链接: ```plaintext https://githack.com/username/repo/branch/file.html ``` 其中: - **username**: 表示拥有该仓库的用户名。 - **repo**: 表示具体的仓库名称。 - **branch**: 可选参数,默认为主分支(通常是 main 或 master),也可以指定其他分支名。 - **file.html**: 要打开的具体 HTML 文件路径[^1]。 例如,如果你知道 Bugku 的某个页面入口文件叫作 index.html,并且存放在名为 bugku-web 的公共仓库里,就可以尝试输入如下地址进入可视化界面: ```plaintext https://githack.com/Bugku/bugku-web/main/index.html ``` 需要注意的是,只有当目标资源确实存在于上述位置时此操作才会成功;否则会返回错误提示或者空白页。 #### 关于`.gitignore`配置对于查找源代码的影响 有时即使找到了正确的仓库URL也可能看不到完整的实际开发资料列表,这是因为部分敏感数据可能被设置进了 `.gitignore` 文件从而排除在外不上传至远程服务器上共享给公众查阅。比如 Android 应用程序中的私密 API 密钥或者其他机密信息通常都会被列入忽略清单以防泄露风险 [^2] 。因此,在探索开源项目的时候遇到某些目录缺失的情况并不罕见也不必惊讶。 另外值得注意的一点是并非所有的软件工程都采用官方推荐的标准命名惯例去管理它们各自的版本控制系统元数据区域(即 .git/) ,所以有时候即便我们能够定位到疑似的目标站点却仍然无法获取确切的技术细节文档等内容也是有可能发生的。 #### 备选方案:利用第三方平台搜索Android源码实例 除了借助像GitHub这样的主流社交编码服务平台之外还有专门针对移动操作系统领域设立起来的一些大型综合型技术档案馆可供检索查询安卓应用程序底层架构设计原理方面的知识素材。例如 http://grepcode.com 就曾经是一个非常受欢迎的选择之一用于研究Java语言扩展包以及Google官方发布的原生API接口定义说明等等材料 [^3] 。不过遗憾的是该项目现已停止维护更新服务了。但对于历史遗留下来的经典案例分析学习而言仍旧具有一定的参考价值意义所在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值