git源码泄露

admin2024-04-03  0

Git 源码泄露

开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码

确定是否存在泄漏

(1)看看有没有提示使用了 Git,如果有就考虑存在。如果没有也可以使用 dirsearch 工具扫描后台,如果存在则会扫描出 .git 目录如图所示。

git源码泄露,第1张
(2)直接通过网页访问 .git 目录,如果能访问就说明存在。

git源码泄露,第2张
(3)访问 .git/head 文件,如果能下载也能推断存在 Git 源码泄露。

1.【攻防世界】mfw

页面发现git ,可能存在git注入。

用GitHack扫描,下载源文件。

 (1)assert:对传入的参数会当作php代码来执行

 file_exists('templates/') or phpinfo();#.php

git源码泄露,第3张

(1)双斜杠相当于注释 

找到flag。

CTF-WEB:Git 源码泄露 - 乌漆WhiteMoon - 博客园 (cnblogs.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明原文出处。如若内容造成侵权/违法违规/事实不符,请联系SD编程学习网:675289112@qq.com进行投诉反馈,一经查实,立即删除!