题目描述

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题。

Solution

进入题目,使用 dirsearch 扫描目录,发现有/.git/config泄露:

1.png

我们在 Kali 下用 Bugscan-Team 的 GitHack 工具尝试把它下载下来:

  1. python2 GitHack.py http://challenge-516d54be355ee9fa.sandbox.ctfhub.com:10800/.git

2.png

dist目录下,用ls -la命令发现有个.git文件,这意味着我们可以用git log命令查看之前的历史:

3.png

我们用git diff命令对比当前状态和add flag那一次提交有什么不同:

4.png