CTFHub | Stash
0x00 前言
CTFHub 专注网络安全、信息安全、白帽子技术的在线学习,实训平台。提供优质的赛事及学习服务,拥有完善的题目环境及配套 writeup ,降低 CTF 学习入门门槛,快速帮助选手成长,跟随主流比赛潮流。
0x01 题目描述
Stash:
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题。
0x02 解题过程
根据题目描述内容,此题与之前的 log 类似,应该是了解对 git 的使用。在解题 log 时使用了工具 GitHack 将网页目录 clone 到本地目录下,然后在 clone 的目录下使用 log 命令查看历史记录,并发现 add flag 中存在 flag 。那么此题思路与前面题目一致,同样在查看历史记录时发现 add flag 中存在一个未知的文本文件,怀疑 flag 存在于文本文件中,通过对 git 命令的学习以及题目的提示,使用 git stash pop 命令可以恢复文件。最后查看文本文件发现此题 flag 。
Ⅰ使用GitHack工具clone题目源码到本地目录下
python2 GitHack.py http://challenge-7eac799165e7a656.sandbox.ctfhub.com:10800/.git/Ⅱ在GitHack工具的dist目录中打开刚才clone的网站目录文件
Ⅲ在终端打开clone的目录路径,并使用git log命令查看其历史记录
git log #查看历史记录Ⅳ使用git diff命令可以对比提交版本,发现在add flag版本中有一个文本文件
git diff 57169348833242a4b2a05130a0b7f826ca691651Ⅴ通过对git命令的学习和题目的提示,使用stash命令可以恢复文件
git stash pop #恢复代码Ⅵ这时查看网页目录中发现成功恢复文本文件,打开文本文件发现此题flag
0x03 git stash命令
| 命令 | 描述 |
|
git stash |
保存当前工作进度,会把暂存区和工作区的改动保存起来 |
| git stash save 'hello world' | 使用save可以添加一些注释 |
|
git stash list |
显示保存进度的列表 |
|
git stash pop |
恢复最新进度到工作区,默认将工作、暂存区的改动都恢复到工作区 |
| git stash pop --index | 恢复最新进度到工作区和暂存区,尝试将暂存区的改动恢复到暂存区 |
| git stash pop stash@{1} | 恢复指定的进度到工作区 |
|
git stash apply [–index] [stash_id] |
将堆栈中的内容应用到当前目录,该命令不会将内容从堆栈中删除 |
|
git stash drop [stash_id] |
删除一个存储的进度。如果不指定stash_id,则默认删除最新的存储进度 |
|
git stash clear |
删除所有存储的进度 |
|
git stash show |
查看堆栈中最新保存的stash和当前目录的差异 |
|
git stash branch |
在最新的stash创建分支 |
注意: 使用 git stash pop 命令恢复进度后,当前进度会被删除
0x04 参考文献
[1].Git. Git存储文档[EB/OL]. [2022-10-09]. https://git-scm.com/docs/git-stash.
[2].淹不死的水. git stash详解[EB/OL]. [2022-10-09]. https://blog.csdn.net/stone_yw/article/details/80795669.
0x05 总结
文章内容为学习记录的笔记,由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。
CTFHub | Stash相关推荐
- CTFHUB技能树题目解析(持续更新)
CTFHUB题目解析(持续更新) Web 信息泄露 目录遍历 PHPINFO 备份文件下载 网站源码 bak文件 vim缓存 .Ds_Store Git泄露 Log Stash Index SVN泄露 ...
- Git泄露 之Stash(做题过程)
当前大量开发人员使用git进行版本控制,对站点自动部署.如果配置不当,可能会将.git文件夹直接部署到线上环境.这就引起了git泄露漏洞.请尝试使用BugScanTeam的GitHack完成本题. 第 ...
- CTFHub信息泄露
文章目录 phpinfo 备份文件下载 网站源码 bak文件 vim缓存 .DS_Store Git泄露 Log stash Index SVN泄露 HG泄露 phpinfo 直接Ctrl+f搜索fl ...
- CTFHUB技能树(全详细解析含进阶)
CTFHUB技能树 HTTP协议 请求树 302跳转 Cookie 基础认证 响应包源代码 信息泄露 目录遍历 phpinfo 备份文件下载 网站源码 bak文件 vim缓存 .DS_Store Gi ...
- CTFHUB技能树之Web
web web前置技能 参考链接 -操作系统 -数据库 -HTML/CSS -程序语言 HTTP协议 0x01 请求方式 1)HTTP Method 是可以自定义的,并且区分大小写 可以通过抓包更改其 ...
- ctfhub技能书+历年真题学习笔记(详解)
Web Web前置技能 HTTP协议 请求方式 题目:HTTP Method is GET Use CTF**B Method, I will give you flag. Hint: If you ...
- git shanchu stash_git stash用法
常用git stash命令: (1)git stash save "save message" : 执行存储时,添加备注,方便查找,只有git stash 也要可以的,但查找时不 ...
- IDEA : Git Pull Failed 解决(IDEA中使用stash功能)
一.问题: 本地要commit代码,commit之前需pull代码,但pull提示冲突.如下 Git Pull Failed Your local changes would be overwritt ...
- git stash 拉去_git操作命令符
1.将远程分支的代码合并到本地分支 1)git fetch 获取到远程分支的代码库 执行完会看到远程分支更新的内容同步到本地 2)git merge origin/要合并的与参横分支名称. 2.如 ...
最新文章
- 导入语句 python_Python导入语句说明
- success for advertisement
- boost::make_biconnected_planar用法的测试程序
- 内存泄漏–测量频率和严重性
- python中history()_keras中的History对象用法
- 智能一代云平台(四十):Maven项目如何将lib下依赖的包打印在manifest文件中
- 【联合仿真】Adams六关节机械臂与Matlab/Simulink的联合仿真(上)
- 收集 一些Oracle账号
- 数据挖掘如何计算相关性_一份数据挖掘入门指南!!!
- /usr/include/openssl/des.h:91:9: error: unknown type name ‘DES_LONG’ DES_LONG deslong[2];
- Linux宝库名人轶事栏目 | 我与中国开源软件二十年(二)
- Excel公式与函数实战应用-陈明霞-专题视频课程
- 工业3D互联网可视化三维数字化智能工厂管理系统
- 河南科技大学计算机科学与技术分数线,河南科技大学2017年河南省各专业录取分数线...
- word2vec源码详解
- Android制作logo
- zxing集成到Android Studio中实现二维码扫一扫功能
- mysql 悲观锁 的运用
- SaltStack常用模块——file
- 环境企业表单权限分配填报数据系统设计与实现