git源代码泄露

这篇具有很好参考价值的文章主要介绍了git源代码泄露。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

需要的工具:kali,githack(win版没下载成功)

安装方法:

kali命令行中输入:git clone https://github.com/lijiejie/GitHack

下载成功如下:

git源代码泄露

输入GitHack,然后输入python GitHack.py +所要下载的网页链接+/.git/

GIT文件基本介绍:

        Git 是目前最流行的版本控制系统。版本控制系统在一种特殊的基于文件系统的数据库中记录对我们的项目代码库所做的更改。在 Git 中,这个数据库被称为存储库,其结构受 Linux 文件系统的启发。存储库维护我们代码库更改的历史记录。

        git的文件夹将包含对代码库的每一个微小变动的细节。修改的所有快照都将像数据库一样记录在此文件夹中,这使得撤消更改并回滚到所需的代码版本成为可能。

        git的文件夹被隐藏,以防止意外删除或文件夹的修改。如果删除此文件夹,代码库的版本历史将丢失。这意味着,将来我们将无法回滚对代码所做的更改。也意味这如果git文件夹没能及时隐藏,会导致数据泄露,源代码暴露。

几个php的函数规则:

assert函数:

assert ( mixed $assertion [, string $description ] ) : bool

assert() 会检查指定的 assertion 并在结果为 FALSE 时采取适当的行动

如果assertion是字符串,他会被assert()当做php代码执行。 思路是通过可控变量file传入恶意参数,构造闭合 file_exists(),使assert()执行恶意代码。

strpos函数

strpos() 函数查找字符串在另一字符串中第一次出现的位置(区分大小写。

语法:strpos(string,find,start)

例子:攻防世界mfw

打开网页,

git源代码泄露

 发现url的page会随页面更改,且再上述页面中出现git,尝试进入.git/文件,

git源代码泄露

发现能进入,存在git数据泄露,

打开kali,使用githack

输入GitHack,

再运行,python GitHack.py http://111.200.241.244:53024/.git/  (为git泄露的页面)

git源代码泄露

在root文件夹中,获取到源代码

git源代码泄露

git源代码泄露

进入flag.php发现并没有内容,应该是隐藏了,则代码审计index.php

主要部分

git源代码泄露

 $file变量接收输入的$page并且拼接.php

代码中不允许输入的字符中包含连续的两个点,否则就返回错误,利用assert函数漏洞

构造playload:?page='.system('cat ./templates/flag.php').'

打开网页开发工具查看,成功获取flag

 git源代码泄露

 文章来源地址https://www.toymoban.com/news/detail-467832.html

 

到了这里,关于git源代码泄露的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Git源代码管理方案

    背景 现阶段的Git源代码管理上有一些漏洞,导致在每次上线发布的时间长、出问题,对整体产品的进度有一定的影响。 作用 新的Git源代码管理方案有以下作用: 多功能并行开发时,测试人员可以根据需求任务分配测试自己的功能,环境互不干扰(需要提供多环境),也可以集

    2024年02月16日
    浏览(61)
  • 微信群发工具-含源代码分享

    本工具可实现定制消息内容,向微信通讯录中的好友群发消息,过年过节用它群发祝福微信消息非常方便。 群发信息excel文件 可将群发信息提前编辑到Excel中,确保程序与excel表处于同一目录,运行程序即可实现群发。 1)确保groupmsg.xlsx和grpmsg.exe程序文件在同一文件夹内;

    2024年02月08日
    浏览(52)
  • vscode git 源代码管理 无法自动更新显示变更

    最近vscode 远程写代码遇到问题,git的源代码管理不能自动罗列被修改的文件 原因: 早期出现警告\\\"Visual Studio Code is unable to watch for file changes in this large workspace\\\"无法在这个大型工作区中监视文件更改 ,时不小心按到了“不再提醒”,导致当前工作区的文件数量超过了VS Code文

    2024年02月11日
    浏览(77)
  • 用什么工具可以查看apk文件源代码

    APK文件的源代码可以使用以下工具查看: APK Tool: 一款开源的Android应用程序反编译工具 Dex2Jar: 一款将Android的dalvik字节码文件(.dex)转换为Java字节码文件(.jar)的工具 Jadx: 一款快速且功能强大的Android反编译工具 AndroGuard: 一款反编译、分析和安全测试Android应用程序的工具 使用这

    2024年02月11日
    浏览(43)
  • vscode同步git代码时源代码管理出现10k+更改如何处理?

    出现原因:获取项目代码,通过vscode的sftp插件进行远程项目拉取。建立新文件夹后发现vscode的git源代码管理器出现多个更改需要处理,如下图左侧所示(10k+)。 解决办法:查看具体更改,定位更改发生的文件夹(我的在桌面),打开文件管理器,定位到对应路径,删除.gi

    2024年02月12日
    浏览(66)
  • 【开源鸿蒙】下载 OpenHarmony 4.0 源代码和工具链

    本文介绍了如何下载开源鸿蒙(OpenHarmony)操作系统源码,该方法可以用于下载OpenHarmony最新开发版本(master分支)或者4.0 Release、3.2 Release等发布版本。 本文基于Ubuntu 22.04进行操作,Ubuntu其他版本也同样可行,包括 20.04, 18.04。 OpenHarmony架构图: 本节介绍如何准备命令行工具

    2024年04月13日
    浏览(91)
  • 最新 .NET 社区工具包, 推出MVVM 源代码生成器!

    我们很高兴地宣布正式推出新的 .NET 社区工具包,现在已经在NuGet上发布了8.0.0版本!这是一个重要版本,包括大量新功能、改进、优化、错误修复和许多反映了全新项目结构和组织的重构,这篇博文将详细描述这些内容。 与每个社区工具包版本一样,所有的更改都受到使用

    2024年02月04日
    浏览(97)
  • VS 如何取消git源代码管理,如何取消将解决方案添加到代码管理,如何取消签入?

    Visual Studio 不小心在解决方案中勾选“将解决方案添加到源代码管理”,在侧栏中显示蓝色小锁的图标, 并产生“已签入”的字样,如何取消代码管理呢? 首先,在 “工具 - 选项” 中找到 “源代码管理 - 插件选择”,再将下拉框中的“Git”改为“无”。 此时,源代码管理

    2024年02月13日
    浏览(58)
  • 新手入公司git的运用,项目克隆拉取与推送。vscode的源代码管理

    1.项目的克隆拉取 新建一个文件夹  打开文件夹后,鼠标右键git Bash Here  选择好分支,在复制url   就把项目克隆下来 , 拉取就是 后面的master也是对应的分支 2、项目的推送  新建一个空的文件夹   打开文件夹后,鼠标右键git Bash Here 先仓库初始化 git init   把你写的项目复

    2024年02月03日
    浏览(79)
  • F12-开发者工具常用操作与使用说明之源代码sources

    我们先来一个小示例给大家看一下: 大家能看出来上面的代码为什么输出的是17吗?按照正常的输出应该是7才对呀!如果你对此有疑惑,说明你在平时调试代码的时候已经浪费了很多时间了哦。 今天就带大家来探索一下开发者工具中源代码的使用,这里提供了非常方便并且

    2024年02月09日
    浏览(77)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包