ctfhub-信息泄露-Git泄露

 · 2020-3-14  ·次阅读


Log

启动环境

QQ截图20200314153525

在/.git/config中有内容,直接githack

QQ截图20200317164838

在文件夹中并没有找到flag文件

使用git log查看记录

QQ截图20200317164910

可以看到在第二条记录中能看到add flag

使用git reset --hard 59218d2bc0dc24072e15f3bd2dc8a89692f90ac2恢复记录

得到一个txt文件,打开得到flag

QQ截图20200317164924

或者使用git diff 59218d2bc0dc24072e15f3bd2dc8a89692f90ac2查看当前记录和add flag的区别

得到flag

QQ截图20200317165038

Stash

启动环境

QQ截图20200317170252

用githack处理得到

QQ截图20200317170456

再查看日志找到查看add flag目录发现并没有flag

QQ截图20200317171711

在.git/refs/stash文件中发现5a1c50dc9be3bb089c2f9a1e737cea77f0e0c32f

git diff 5a1c50dc9be3bb089c2f9a1e737cea77f0e0c32f得到flag

QQ截图20200317171907

Index

同样用githack处理文件

在txt文件中发现flag

QQ截图20200317172256

相关说明:

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。