怎么给网站添加图标,做视频有收益的网站,百度首页纯净版怎么设置,wordpress子主题下载目录 dirsearch下载地址: githack下载#xff08;一次不成功可多试几次#xff09; 一、什么是Git 1.git结构 2.git常用命令及示例 3.Git泄露原理 二、Git泄露 1.Log 2.Stash 3.Index 工具准备#xff1a;dirsearch、githack dirsearch下载地址: GitHub - mauroso…目录 dirsearch下载地址: githack下载一次不成功可多试几次 一、什么是Git 1.git结构 2.git常用命令及示例 3.Git泄露原理 二、Git泄露 1.Log 2.Stash 3.Index 工具准备dirsearch、githack dirsearch下载地址: GitHub - maurosoria/dirsearch: Web path scanner githack下载一次不成功可多试几次 进入root用户下载克隆GitHack库 git clone https://github.com/BugScanTeam/GitHack kali下载使用GitHack_kali安装gitclone-CSDN博客 这样就是安装成功了 使用GitHack 使用到工具 GitHack 来完成而 CTFHub 上提供的工具需要在 python2 环境中执行 python2 GitHack.py 链接/.git/ 一、什么是Git 1.git结构 Git的结构和使用_git结构-CSDN博客 1工作区 .git 所在文件夹 2暂存区stage 或 index一般存放在 .git 目录下的 index 文件 .git/index中所以把暂存区有时也叫作索引 index 3本地仓库版本库用于存储各种版本分支的信息。 .git 文件就是版本库其中 的.git/HEAD 文件它存储着当前分支的名字 4远程仓库服务器存贮着各种项目例如国内的 gitee ,国外的 github , gitlab 等等 运作过程图片来自水印 创建一个版本库通过命令git add添加到暂存区然后通过命令 git commit -m备注 添加到版本库最后通过命令 git push 推送到远程仓库 。 description仓库的描述信息主要给gitweb等git托管系统使用 HEAD即.git/HEAD文件它存储着当前分支的名字 configGit仓库的配置文件 index这个文件就是暂存区stage是一个二进制文件 info包含仓库的一些信息 logs保存所有更新的引用记录 COMMIT_EDITMSG保存最新的commit messageGit系统不会用到这个文件是用户一个参考文件 hooks这个目录存放一些shell脚本可以设置特定的git命令后触发相应的脚本 refs这个目录一般包括三个子文件夹heads、remotes和tagsheads中的文件标识了项目中的各个分支指向的当前commit objects所有的Git对象都会存放在这个目录中对象的SHA1哈希值的前两位是文件夹名称后38位作为对象文件名 2.git常用命令及示例 GIT常用命令大全——赶紧收藏_git命令大全-CSDN博客 git config --global user.name Your Name git config --global user.email emailexample.com //git安装后-指定名称和邮箱 pwd //查看当前目录 git init //初始化生成.git文件(若该文件隐藏则使用ls -ah) git log //查看提交历史记录从最近到最远可以看到3次 git log --prettyoneline //加参简洁查看 git reflog //查看每一次修改历史 git add 1.txt //添加文件 git commit -m wrote a test file //提交文件 git rm 1.txt //删除文件 git commit -m remove 1.txt //删错了恢复 git status //查看工作区中文件当前状态 git remote //查看远程库的信息 git remote -v //查看远程库的详细信息 git remote rm origin //删除远程仓库解绑 git diff commit //比较现版本与上一版本的区别git reset commit //回滚到上一版本 # 什么都不写 默认 --mixed git reset --hard commit //回滚到上一版本并丢弃修改的内容 # --hard 丢弃修改的内容 3.Git泄露原理 Git泄露相关知识点_.git泄露-CSDN博客 Git是一个可以实现有效控制应用版本的系统在配置不当的情况下可能会将“.git”文件直接部署到线上环境就很可能将源代码泄露出去。 一旦攻击者或者黑客发现这个问题之后就可能利用其获取网站的源码、数据库等重要资源信息进而造成严重的危害。 所以发攻击者只要发现有git泄露就可以通过相关工具来得到它所泄露的代码其中会有一些关键信息。 二、Git泄露 题目描述 当前大量开发人员使用git进行版本控制对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题。 1.Log 查看源代码提示有git泄露.git leakage 使用dirsearch扫描也可发现有git泄露 使用GitHack克隆目录 扫描成功后githack会生成一个文件夹dist里面存放着重新生成的文件 进入新文件题目提示log就用git log查看提交历史记录 发现添加了flagadd flag 法一git reset回退文件版本 git reset --hard 4ef99b0bb42e1d518d8fd93ab2e41093cb82e7c3 提示游标HEAD位于add flag中去文件夹中打开文件发现flag  法二使用git diff文件对比  git diff 93f0a5663e1393ba385c26bf597296f9bb437a63 4ef99b0bb42e1d518d8fd93ab2e41093cb82e7c3 2.Stash stash可以理解为git的暂存文件 源代码提示有git泄露.git leakage 使用dirsearch扫描也可发现有git泄露 使用GitHack克隆目录 扫描成功后githack生成一个文件夹dist里面存放着重新生成的文件 进入新文件后与上题一样先用git log查看提交历史记录发现了add flag的历史但是发现使用git reset回退文件版本与git diff进行文件对比均无法得到flag。 原因是存放flag的文件仅存在于stash暂存区里面没有被提交到本地库。一般来说不能直接在本地库查看或操作暂存区中的文件。 于是可使用git stash pop提取git的暂存文件 git stash //备份当前工作区的内容保存到git栈中从最近的一次commit中读取相关内容git stash pop //从git栈中获取到最近一次stash进去的内容恢复工作区的内容。获取之后会删除栈中对应的stash 原历史记录  使用git stash pop提取后 删除了最近的一次remove flag记录 可以用ls、cat命令查看也可直接打开文件 获得flag。  3.Index index可以理解为git的暂存文件 查看源代码提示git泄露 步骤如上 使用dirsearch扫描也可发现有git泄露 使用GitHack克隆目录 扫描成功后githack生成一个文件夹dist里面直接存放有重新生成的flag文件 index是暂存区为什么直接就有flag 使用git log查看提交历史记录发现指针直接指向add flag的分支故查看目录文件直接有flag。