CTFHub-ctfhub-Git泄露-Log
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题
1、dirsearch扫描
github上下载dirsearch-master
命令F:\工具\sql_zhuru\python27>F:\工具\sql_zhuru\python27\python.exe E:\tools\dirsearch-master\dirsearch.py -u "http://challenge-2fde69b686edf5c3.sandbox.ctfhub.com:10800/" -e**
新手第一次使用会出现下面这样
解决方法
pip freeze > requirements.txt
pip install -r requirements.txt
再用命令F:\工具\sql_zhuru\python27>F:\工具\sql_zhuru\python27\python.exe E:\tools\dirsearch-master\dirsearch.py -u "http://challenge-2fde69b686edf5c3.sandbox.ctfhub.com:10800/" -e**
然后还是不行
这里是一个坑换成python3就行了
由此可见存在git泄露
2、用git进行克隆
先去github下载GitHack-master
进入GitHack-master目录
上方输入cmd
下面步骤一步都不能少
然后创建用户名git config --global user.name xxxxx
创建邮箱git config --global user.email "这里换上你的邮箱"
然后执行以下命令生成秘钥:ssh-keygen -t rsa -C "这里换上你的邮箱"
然后三次回车确认,需要注意的是.ssh的保存路径
看我的图
我之前创建过了邮箱,所以我下面图中没有创建邮箱步骤
然后打开,把秘钥复制到github上,new ssh key,然后粘贴上去
再用命令就可以了
F:\工具\sql_zhuru\python27\python.exe E:\tools\GitHack-master\GitHack.py challenge-807ff04267c92150.sandbox.ctfhub.com:10800/.git
克隆的内容保存到E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800
3、最后
win+R输入cmd
一步步进入到目录E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800
来到目录后使用git log查看目录
git log
最后git show展示一下拿到key
总结
前期却什么python库,就补上
git ssh key配置不能少
祝师傅们都能够顺利解决!
