git 源码泄露学习与题目练习

最新推荐文章于 2026-04-10 16:24:50 发布
原创 最新推荐文章于 2026-04-10 16:24:50 发布 · 1.7k 阅读 · 7
标签
#git泄露
本文介绍了Git源码泄露的基本概念及原理,包括.git文件夹各组成部分的功能,以及如何利用泄露的.git文件夹来重建工程源码。同时,还提供了一个实战案例,演示了如何在Linux环境下利用wget命令下载泄露的.git文件夹,并从中获取有价值的信息。

git 源码泄露学习与题目练习

——

Git

是一个开源的分布式版本控制系统,可以有效、高速地处理从很小到非常大的项目版本管理。

在创建一个项目时,会在本地用 git bash 初始化一个文件,而文件夹内就会生成一个 .git 文件。
就是这么个文件,可能能够被攻击者利用,造成 git 源码泄露。
在这里插入图片描述

生成的 git 文件像这样。
在这里插入图片描述

先了解一下这些不同文件的作用

hook:存放一些sheel的地方。
info:存放仓库的信息
object:存放所有git对象的地方
refs:存放提交hash的地方
config:github的配置信息
description:仓库的描述信息,主要给gitweb等git托管系统使用
HEAD:映射到ref引用,能够找到下一次commit的前一次哈希值

——

git 信息泄露原理

  • 可以通过泄露的 .git 文件夹下的文件,还原重建工程源码。

  • 解析.git/index文件,找到工程中所有的: (文件名,文件sha1)

  • 去.git/objects/文件夹下载对应的文件

  • zlib解压文件,按原始的目录结构写入源代码。

最低0.47元/天 解锁文章
【漏洞挖掘】——59、Git信息泄露漏洞检测利用
Fly_鹏程万里
10-20 1840
Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除直接发布到服务器上攻击者就可以通过它来恢复源代码。
CTFHub——Web前置技能——信息泄露——git
weixin_45871855的博客
11-14 1469
get泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 打开环境 http://challenge-d043310a994a68c6.sandbox.ctfhub.com:10080/ 用御剑扫描,只扫描出 URL/index.html 所以我们用另外的扫描工具 dirsearch 来扫描 安装及使用方法(转载) ...
bugku-web40-我哥说渗透我只用linux环境
weixin_50774579的博客
05-23 2570
看一下源码,发现有flag耶,base64解码,发现是假的 然后看提示用linux环境,先用的gobuster跑一下,发现有/.git/目录 gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt wget -r http://114.67.246.176:10491/.git 递归下载该网站目录下的文件及文件夹 git reflog 查看执行的命令日志 flag ..
Git 目录泄露漏洞实战(3_git 题完整 Writeup)
最新发布
L2777276168的博客
04-10 421
Git 是开发中最常用的版本控制工具,当开发人员在服务器上直接部署项目时,如果没有删除 .git 目录,也没有配置 Web 服务器禁止访问该目录,攻击者就可以通过 HTTP 直接访问 .git 目录,下载完整的 Git 仓库。本次题目名称为 3_git,分值 1000 分,靶场入口为 http://180.76.235.121:33105,核心考点就是利用 Git 版本控制的历史记录,找回被隐藏/删除的 flag。递归搜索当前目录下所有文件,匹配包含 flag 的内容,快速定位 flag 位置。
bugku source
m0_73721944的博客
12-21 899
这里直接打开git文件。这里直接在文件管理器(桌面上的文件系统)中打开。顺着目录找 可以看到有很多文件。好的,还是得用 dirsearch ,御剑扫出来的三个东西。上御剑(也可以用 dirsearch,御剑比较简单 )发现了git文件,有可能有git泄露git文件下下来。打开题目有一句描述: 我哥说渗透我只用linux环境。命令:git show+(文件名)没用(也许是我没勾ASP哪些)我就说嘛,怎么可能那么简单。可以看到扫出来了很多git。这些文件就要一个一个去查看。题目提示了渗透,扫一下?
2月21号CTF记录
qq_44445063的博客
02-21 2817
第一题 source 这题描述: 我哥说渗透我只用linux环境,flag在源码,抓包都没有发现,查看提示隐藏在.git目录下。 .git文件是开发人员在开发过程中使用 Git (分布式版本控制系统)做开发时产生的隐藏目录,该文件包含一些版本信息和网站源码,数据库信息等敏感信息。 使用dirsearch.py脚本扫描发现.git目录 使用命令下载wget -r http://114.67.246.176:14508/.git文件 (-r是表示递归的意思,就是把这个路径下所有的文件都给下载下来)
GitGit文件导致源码泄露
qq_45521281的博客
04-26 7517
在一道CTF文章目录什么是Git集中式vs分布式工作区和暂存区学习.git 文件导致源码泄露原理简要介绍git的目录结构如何去利用 ?如何修复.git泄露利用工具GitHack使用方法工作流程CTF中的几种git泄露攻防世界-lottery 什么是Git Git是目前世界上最先进的分布式版本控制系统(没有之一)。 Git有什么特点?简单来说就是:高端大气上档次! 那什么是版本控制系统? 如果你用...
git源码泄露漏洞总结
热门推荐
王嘟嘟的博客
03-30 1万+
0x00 前言 这里对.git源码进行一个总结 0x01 .git文件夹分析 0x02 .git文件夹利用原理 0x03 githack脚本简单分析 0x04 .git源码泄露扫描 0x05 .git源码泄露实例
2024年网络安全最新CTF中的GIT泄露_ctf git泄露
m0_54903333的博客
05-03 1789
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。**Githack扫描完后目录下会生成一个dist文件,**
【转】Git的简单介绍.git文件导致源码泄露
mastergu2的博客
10-28 773
在一道CTF 文章目录 什么是Git集中式vs分布式工作区和暂存区 学习.git 文件导致源码泄露原理简要介绍git的目录结构如何去利用 ?如何修复.git泄露利用工具GitHack使用方法工作流程 CTF中的几种git泄露攻防世界-lottery 什么是Git Git是目前世界上最先...
mfw 攻防世界web题 (Git泄露
一醉一休的博客
02-23 1361
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 一、mfw 1)点开,没发现什么有用的 2)继续 3)发现有Git,可能是Git泄露,直接/.git 4)一个个点看看,在index中,ps打开 <?php if (isset($_GET...
git泄露——dirsearch&githack使用
2303_81631620的博客
04-12 1413
大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。通常情况下下载 .git 文件中会存在网页的快照【快照:关于指定数据集合的一个完全可用拷贝,该拷贝包括相应数据在某个时间点(拷贝开始的时间点)的映像。快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品】Git有三种状态:已修改(modified)、已暂存(staged)、已提交(committed)hook:存放一些sheel的地方。
bugku rev1(xman) WP
Casuall的博客
07-03 1387
用JEB查看MainActivity的onCreate函数。首先创建了一个CheckClass类的实例c,调用c.a()函数处理输入,最后判断c.check()的返回值。 this.button.setOnClickListener(new View$OnClickListener() { public void onClick(View arg4) { MainActivity.this.c = new CheckClass();
git泄露
2202_75361164的博客
03-28 822
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。工具GitHack使用:python2 GitHack.py URL地址/.git/remove flag 表示当前版本add flag 表示这次提交的版本init 表示初始的版本使用git diff命令可以对比提交版本,对比这三个版本发现在add flag中获得此题flag。
git信息泄露漏洞
jelly
07-27 9895
git泄露漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 Git介绍 Git作为大家熟悉的,深受欢迎的版本控制工具,和其他同类工具有很多不同之处: Git始终保存快照而不是文件差异。 任何数据存储前始终使用SHA-1计算校验和,保证内容完整性。 使用分布式仓库设计,让大多数
CTFHub | Log
尼泊罗河伯的博客
10-07 2013
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。因为对工具的不熟悉,且也不太了解 Git泄露漏洞。此题主要参考官方 writeup 来完成。
Git复习题及其答案
云域A的博客
07-03 2122
工作区是开发者实际编辑代码的地方,暂存区用于暂时存储即将提交的修改,仓库则保存了项目的完整历史记录。冲突在Git中发生于两个不同的分支对同一文件的相同部分进行了不同的修改。撤销提交不会修改现有的提交历史,而是创建一个新的提交来反转之前的更改。撤销提交不会修改现有的提交历史,而是创建一个新的提交来反转之前的更改。在冲突标记之间编辑代码,将冲突的部分修改为你期望的代码,或你可以完全删除冲突标记并重新编写整个部分。保存文件后,标记为已解决的文件会自动加入暂存区,重复上述步骤,直到解决所有冲突。
Git版本控制工具自学的一些习题及答案
qq_57145741的博客
10-16 3033
Git习题1 1、Git不能做什么? A.测试元素定位工作B.版本控制C.备份文件D.多人共享 正确答案: A 2、常见的版本控制工具有哪些? A.SVNB.GitC.MysqlD.CVS 正确答案: A,B,D 3、如何创建一个空的仓库 A.git logB.git initC.lsD.pwd 正确答案: B 4、以下命令正确的是 A.git addB.git add --!C.git add (aa)D.git add...
【技能树学习Git入门——练习题解析
马上到我碗里来的博客
02-05 2020
本篇文章给出了CSDN Git入门技能树中部分的练习题解析,包括分支管理,Git标签,在Mac和Windows上使用Git+VSCode的步骤。强调了git cherry-pick不直接支持从标签中选择提交,git tag -d只能删除本地标签,Mac系统的终端可以安装Homebrew并使用Homebrew安装git。在VSCode中,可以通过命令行或终端直接指定目录,也可以通过拖拽文件夹到VSCode界面来打开目标文件夹。
git泄露漏洞
TItaniumLJA的博客
11-23 6140
git简介 git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git目录 config - 包含一些配置选项 description - 仓库的描述信息,主要给gitweb等git托管系统使用 HEAD - 指定
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值