最近自学了1个月的CTFweb题,参加比赛一道题都没做出来,有点自闭,但还是告诉自己要慢慢来,有意向打CTF的同学可以私信,一起学习。
---------------------------------------------------------------------------------------------------------------------------------
这道题光安装软件就走了很多弯路,几乎是花了一天的时间去学习,解答。所以尽可能的一篇文章让像我一样的小白了解详细方法和思路,而不是单单粗暴的解题。
目录
题目

解题过程
- 工具 (单击查看下载教程)
dirsearch (目录扫描工具)
Githack (必须要在python2.8环境下运行,如果像我一样,kail中python版本为2.7 和3的,
请点击(python3版本 Githack下载)
所需知识点
Githack源码泄露(没接触的点击查看详解):使用git在初始化代码库的时候,会在当前目录下产生一个.git的隐藏目录,用来记录代码的变更等。同时使用这个文件可以恢复各个版本的代码,所以如果.git文件可以访问,就可能泄露了源代码。
php命令执行(没接触的点击查看详解):应用程序的某些功能功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数被用户控制,就有可能通过命令连接符将恶意命令拼接到正常的函数中,从而随意执行系统命令,这就是命令执行漏洞。
思路
1.首先肯定是F12查看源码,没思路
2.按照惯例,能点的全点一遍

本文记录了一位CTF新手自学一个月后尝试比赛的心路历程,详细解析了一道涉及Git源码泄露和PHP命令执行的题目。通过目录扫描和源码分析,最终成功利用payload执行命令获取flag。作者强调了学习过程中遇到的困难和收获,鼓励大家共同学习进步。
1336

被折叠的 条评论
为什么被折叠?



