CTFHub个人学习记录

第三章：web前置技能-信息泄露-Git泄露-Stash篇

文章目录

• CTFHub个人学习记录
• 前言
• 一、解题过程
• • • • 方法一：
  • 1.首先访问靶机页面并翻译，如下图所示：
  • 2.使用dirb工具对网站进行扫描，发现敏感目录.git，如下图所示:
  • 3.使用githack工具下载目标源代码到本地进行分析，如下图所示：
  • 4.使看看日志对比，添加了flag，但是并没有像第一题那样出flag，如下图所示：
  • 5.得到flag，如下图所示：
  • • • 方法二：
  • 1.使用Git_Extract工具，用法和第一个差不多，但这个是自动解析，链接: [Git_Extract工具下载点我](https://github.com/gakki429/Git_Extract)如下图所示：
• 总结

前言

路漫漫其修远兮，吾将上下而求索。
本文涉及以下知识点，去引用文章学习即可：
链接: 这是一个知识点

链接: 这是一个知识点
当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题,自行下载此题工具：链接: GitHack工具下载点我（此工具已归档，文章后我会提供另一种差不多,但更方便的工具）

一、解题过程

方法一：

1.首先访问靶机页面并翻译，如下图所示：

2.使用dirb工具对网站进行扫描，发现敏感目录.git，如下图所示:

3.使用githack工具下载目标源代码到本地进行分析，如下图所示：

4.使看看日志对比，添加了flag，但是并没有像第一题那样出flag，如下图所示：

stash 用于保存 git 工作状态到 git 栈，在需要的时候再恢复。git stash list发现有 stash，执行 git stash pop 发现从 git 栈中弹出来一个文件，这个文件的内容就是 flag（下面是关于这些命令的知识点）

git stash list：
git stash list 命令用于列出当前存储在 stash 列表中的所有 stash 记录。Git 的 stash 功能允许你在不删除其他更改的情况下临时保存和恢复未提交的更改。
要使用 git stash list 命令，请在终端中输入以下命令：

git stash list 

这将显示当前 stash 列表中的所有 stash 记录，包括它们的 ID、描述和创建时间等信息。每个 stash 记录将显示为一行，其中包含以下信息：

• stash ID：stash 记录的唯一标识符。
• Description：stash 记录的描述。
• Date：stash 记录的创建时间。
  通过查看 stash 列表，您可以轻松找到并恢复最近保存的未提交更改。

git stash pop：
git stash pop 命令用于从 stash 列表中恢复最近保存的未提交更改。
Git 的 stash 功能允许你在不删除其他更改的情况下临时保存和恢复未提交的更改。使用 git stash pop 命令，您可以恢复最近保存的 stash 记录并将其应用到当前工作目录。
要使用 git stash pop 命令，请在终端中输入以下命令：

git stash pop 

这将显示最近保存的 stash 记录列表，并提示您选择要恢复的记录。选择一个记录后，它将将其应用并覆盖当前工作目录中的更改。
请注意，git stash pop 命令不会删除 stash 记录，您仍然可以在 stash 列表中查看它们。如果您想要永久删除 stash 记录，可以使用 git stash drop 命令。

5.得到flag，如下图所示：

方法二：

1.使用Git_Extract工具，用法和第一个差不多，但这个是自动解析，链接: Git_Extract工具下载点我如下图所示：

总结

大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可，网上的师傅们总结的很完美，我就不东施效颦)

思路：
文章和详细