CTF之Git泄露

当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

打开靶场网页

这次用到一个开源的目录爆破工具——dirsearch，启动方式是常见的命令形式，设置好url地址为靶场和文件扩展名为所有。

疑似git文件夹，虽然状态码为301，但是这个地址依然可以作为入口，或许是误报呢。

我们直接用GitHack这个工具，还原一下git历史版本

用git命令查看一下提交的历史日志，可以发现一共有3次提交

这里试试用git命令，将最新一次提交与前一次提交做比对，果然得到了我们要的flag