GIT泄露实战初窥--粗心的小李

docker-compose up -d启动

进入scrabble-master文件夹  ./scrabble-master 目标网站扫描

 

并未发现其他commit记录

使用Githacker工具查看是否有其他隐藏文件或分支：

 

进入生成的文件夹：

 

 

 并没有发现其他问题 直接打印index.html

找到flag:

 

 

总结：

githacker就是一个版本还原工具，将在./git中曾经版本的文件恢复出来；上述题目的文件直接恢复出来之后找到了flag，但也存在明明查到了其他分支的信息但还原的文件并没有得到的情况，这时就需要手动下载该信息：weget http://url/.git/refs/heads/secret(secret为查到的其他分支）这时需要根据实际情况对文件做出恢复等操作