XCTF-MFW Git泄露,命令执行漏洞 详解

本文记录了一位CTF新手自学一个月后尝试比赛的心路历程,详细解析了一道涉及Git源码泄露和PHP命令执行的题目。通过目录扫描和源码分析,最终成功利用payload执行命令获取flag。作者强调了学习过程中遇到的困难和收获,鼓励大家共同学习进步。

最近自学了1个月的CTFweb题,参加比赛一道题都没做出来,有点自闭,但还是告诉自己要慢慢来,有意向打CTF的同学可以私信,一起学习。

---------------------------------------------------------------------------------------------------------------------------------

这道题光安装软件就走了很多弯路,几乎是花了一天的时间去学习,解答。所以尽可能的一篇文章让像我一样的小白了解详细方法和思路,而不是单单粗暴的解题。

目录

题目

解题过程

所需知识点

思路

过程

总结



题目

解题过程

  • 工具   (单击查看下载教程)

dirsearch (目录扫描工具)

Githack   (必须要在python2.8环境下运行,如果像我一样,kail中python版本为2.7 和3的,

请点击(python3版本 Githack下载) 

所需知识点

Githack源码泄露(没接触的点击查看详解):使用git在初始化代码库的时候,会在当前目录下产生一个.git的隐藏目录,用来记录代码的变更等。同时使用这个文件可以恢复各个版本的代码,所以如果.git文件可以访问,就可能泄露了源代码。

php命令执行(没接触的点击查看详解):应用程序的某些功能功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数被用户控制,就有可能通过命令连接符将恶意命令拼接到正常的函数中,从而随意执行系统命令,这就是命令执行漏洞。

思路

1.首先肯定是F12查看源码,没思路

2.按照惯例,能点的全点一遍

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值