CTFHub技能树-SVN泄露

最新推荐文章于 2025-03-19 09:57:12 发布

_菜就多练_

最新推荐文章于 2025-03-19 09:57:12 发布

阅读量1k

点赞数 6

文章标签： svn

本文链接：https://blog.youkuaiyun.com/weixin_52049690/article/details/145114725

版权

一、漏洞简介

Subversion (SVN) 泄露是指在当开发人员使用 SVN 进行版本控制，对站点自动部署的过程中，由于不当的配置、疏忽或错误，导致敏感信息或整个项目的源代码被未经授权的访问者获取。这种泄露可能发生在多种情况下，包括但不限于以下几种：

公开暴露的SVN仓库：如果SVN仓库被错误地配置为公开可读，那么任何人都可以通过网络浏览器或者SVN客户端访问到仓库的内容，包括所有的版本历史记录和文件。

Web服务器配置错误：在将网站或应用程序部署到服务器时，如果服务器的目录结构配置不当，可能会暴露.svn目录，这个目录包含了仓库的元数据和文件版本，从而泄露源代码和其他敏感信息。

开发者失误：开发人员在使用SVN时，可能会不小心将包含敏感信息的文件提交到仓库中，如数据库配置、私钥、API密钥等。

供应链泄露：如果第三方供应商或开源项目中包含了泄露的SVN信息，那么在使用或集成这些组件时，也可能间接地导致信息泄露

二、验证方式

1.网站路径后面加 /.svn/entries 存在漏洞会显示12；
2.用dirsearch扫描，若出现/.svn/wc.db 则说明存在svn泄露漏洞；

3.dvcs-ripper工具。检查 .svn 目录中的 wc.db 文件，这是仓库的工作拷贝数据库，可能包含版本信息和文件内容

三、漏洞复现

1.路径后面➕/.svn/entries，显示12【实锤有

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

_菜就多练_

关注关注

6
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

CTFhub技能树-Web-信息泄露

2301_81988171的博客

08-14

2330

在平常的工作中，当我们在单独拉取的功能分支中进行开发时，遇到线上出现bug需要进行紧急修复，我们需要切换到主分支，进行代码的修复。合理的方式应该是将功能分支的代码临时存储在某个位置，当我们切回到当前分支，读取该存储，将之前的改动恢复。这就引起了git泄露漏洞。当开发人员在线上环境中使用 vim 编辑器，在使用过程中会留下 vim 编辑器缓存，当vim异常退出时，缓存会一直留在服务器上，引起网站源码泄露。这样的命令，完美的解决了这个问题，其将当前未提交的修改（即工作区和暂存区的修改）先暂时储藏起来。

CTFHub技能树-信息泄露wp

m0_74786138的博客

02-13

975

公众号：泷羽Sec-track。

参与评论您还未登录，请先登录后发表或查看评论

记CTFhub中的svn泄露

weixin_46954909的博客

02-18

587

使用的工具：1.SVNExploit（本题不推荐使用）如需要可私信我。

SVN泄露（ctfhub）

2401_82985722的博客

04-15

2107

SVN详解_svn cp-优快云博客subvert（颠覆） + verson（版本） = subversion --> svnSVN（Subversion）是一种开放源代码版本控制系统，用于管理项目的文件和代码。

SVN 泄露

最新发布

Sweet_vinegar520的博客

03-19

415

输入 apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-perl libio-all-lwp-perl 即可。根据题目，知道这题跟svn泄露有关，我们之前有做过类似的题，但这题明显更复杂，我们需要用到CTFHUB提供的工具dvcs-ripper-master。cd 到 dvcs-ripper-master 目录。使用命令./rip-svn.pl -u。依次搜索最终找到flag（笨方法）

SVN信息泄漏利用工具

11-22

SVN信息泄漏利用工具

CTFHub:web前置技能-信息泄露-SVN泄露

wdnmddbl的博客

06-07

1379

路漫漫其修远兮，吾将上下而求索。本文涉及以下知识点，去引用文章学习即可：链接:我是一个知识点链接:我是一个知识点链接:我是一个知识点链接:dvcs-ripper下载点我链接:svnExploit下载点我大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可，网上的师傅们总结的很完美，我就不东施效颦)思路：文章很详细。

CTFHub技能树-信息泄露-SVN泄漏

m0_74313947的博客

09-08

1213

当开发人员使用 SVN 进行版本控制，对站点自动部署。如果配置不当,可能会将.svn文件夹直接部署到线上环境。这就引起了 SVN 泄露漏洞。

CTFHub | SVN泄露

尼泊罗河伯的博客

10-13

6903

此题使用 kali-linux 系统完成，因为使用 windows 系统环境使用 Perl 配置环境变量过于繁琐，且 Perl 更适合在 Linux 环境中使用。在做这题碰到的坑还挺多，一开始尝试了使用各种 SVN 泄露漏洞利用工具，最后发现 dvcs-ripper 这个工具比较好用。配置好工具及环境后，使用工具将泄露文件 clone 到本地目录下，最后通过检索文件发现 6e 文件中的文件存放此题 flag 。

SVN泄露

qq_69100706的博客

07-17

1093

Subversion (SVN) 泄露是指在使用 Subversion 版本控制系统的过程中，由于不当的配置、疏忽或错误，导致敏感信息或整个项目的源代码被未经授权的访问者获取。：如果SVN仓库被错误地配置为公开可读，那么任何人都可以通过网络浏览器或者SVN客户端访问到仓库的内容，包括所有的版本历史记录和文件。：在将网站或应用程序部署到服务器时，如果服务器的目录结构配置不当，可能会暴露.svn目录，这个目录包含了仓库的元数据和文件版本，从而泄露源代码和其他敏感信息。

ctfhub-web-信息泄露-题解

baishiqi12的博客

08-13

523

CTF Hub”是一个用于练习和解决各种安全问题的平台。信息泄露是CTF挑战中的一个常见题目类型，目标是通过各种技术手段获取系统中意外暴露的敏感信息。

CTFhub-web-信息泄露（超详细、新手推荐）

test_zpx的博客

08-13

684

目录遍历是web中常见的基础操作，我们通常会通过目录的遍历来发现是否存在对我们有用的信息。

ctfhub--svn泄露

ljj20020718的博客

11-17

645

ctfhub之svn泄露

ctfhub之svn信息泄露

tempulcc的博客

10-08

5948

ctfhub之svn信息泄露1、漏洞形成原理1）什么是SVN?2）漏洞成因3）漏洞修复2、ctf实战1)配置工具环境2)恢复.svn3)进入.svn目录，查找flag 1、漏洞形成原理 1）什么是SVN? SVN是subversion的缩写，是一个开放源代码的版本控制系统，通过采用分支管理系统的高效管理，简而言之就是用于多个人共同开发同一个项目，实现共享资源，实现最终集中式的管理。 2）漏洞成因在服务器上布署代码时。如果是使用 svn checkout 功能来更新代码，而没有配置好目录访问权限，则会存在此

CTFHub信息泄露 svn泄露篇

2301_79697181的博客

11-26

701

svn1.6及以前版本会在项目的每个文件夹下都生成一个.svn文件夹，里面包含了所有文件的备份，文件名为 .svn/text-base/文件名.svn-base。svn1.7及以后版本则只在项目根目录生成一个.svn文件夹，里面的pristine文件夹里包含了整个项目的所有文件备份。分别查看4e和bf目录下的两个文件，在4e目录下的文件中发现flag。使用dirb扫描靶场，发现存在svn的目录，说明是svn泄露泄露。进入.svn目录中查看目录下的所有文件。

关于信息泄露（1）SVN泄露

2301_81841047的博客

04-24

1590

SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本（低版本SVN具体路径为text-base目录，高版本SVN为pristine目录），如果服务器没有对此类后缀做解析，黑客则可以。（具体使用，我也不太了解，我也还没有用过SVN），反正我的理解，我感觉这个SVN有点像一个开放式的云平台，只是功能比较局限化和专一化，因为他们的本质我感觉都是，文件被储存到了一个不属于本地电脑的虚拟平台上，然后哪个用户需要，再分别发送给他。首先，介绍一下，SVN是什么。纯小白，如有错误，欢迎纠正。

CTFHUb--SVN泄露

m0_73605862的博客

07-23

566

然后进入这个.svn文件，一直进入直到看到pristine文件（存放旧服务器源代码的文件）然后尝试进入文件，结果第一个就是flag。首先到dvcs-ripper目录下进行使用rip-svn.pl，然后输入。1.因为要找到旧版本的源代码，则是找到pristine文件。查看该目录下的所有文件，可以看到一个后缀为.svn的隐藏文件。

SVN源码泄露

noob_3000的博客

07-30

3175

svn泄露漏洞利用学习，dvcs-ripper在Windows环境下的搭建尝试（未成功）

CTF-SVN泄露

diven2的博客

08-03

485

CTF-SVN泄露首先是环境搭建DVCS-ripper需要在perl环境中才能运行,因为他是使用perl语言编写的。就像.py文件必须在python环境中运行一样。perl是一种面向对象的服务器语言就和C语言一样都是高级语言。然后是kali中perl环境安装的代码在命令行中输入 sudo apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-perl libio-all-lwp-perl

CTF HUB的svn泄露

01-05

### CTF HUB SVN 泄露事件详情在处理Web应用程序的安全问题时，SVN泄露是一个不容忽视的风险。当开发人员使用Subversion (SVN)作为版本控制系统，并且配置不当时，可能会将`.svn`目录暴露于互联网上[^3]。对于CTF Hub发生的SVN泄露情况，在网站URL后附加路径`/.svn/entries`可以访问到版本控制数据。此操作揭示了项目结构以及可能存在的敏感信息。其中提到的数字12代表的是当前工作副本的基础修订版号，即最后一次更新至该位置时仓库中的提交次数[^1]。然而尝试利用工具如Seay-SVN来获取更多资料遇到了困难，具体失败的原因未明。这可能是由于服务器端已经采取了一定程度上的防护措施或者是网络连接方面的问题所致。 ### 应对措施为了防止此类安全风险的发生并妥善解决已有的漏洞： - **移除公开可访问的.svn文件夹**：确保生产环境中不存在任何与版本控制系统相关的元数据。 - **审查现有部署流程**：确认自动化构建脚本不会意外上传这些隐藏文件夹到远程主机。 - **启用适当的身份验证机制**：即使存在潜在的数据泄露途径，也应通过强认证手段限制非法用户的访问权限。 - **定期扫描和监控**：采用专业的渗透测试软件检查是否有其他形式的信息外泄现象；同时建立日志记录制度以便及时发现异常活动。 ```bash # 使用SvnExploit工具进行检测 git clone https://github.com/admintony/svnExploit.git cd svnExploit/ python main.py http://example.com/path_to_suspected_leakage_directory ```