题目描述
题目截图如下:
![图片[1] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/9a98bc42b6f544c09dfdeb98e5bb2686.png)
进入场景看看:
![图片[2] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/34c8499586a74e5ab85272a9115ce0fe.png)
解题思路
- 看源码,看F12网络请求
- 没有东西只能老老实实按照提示用Linux去扫描目录
相关工具
- kali虚拟机
- 安装gobuster 或者dirsearch
解题步骤
- 先查看源码:
![图片[3] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/066a2a5ab67a47c590520a12cdf02f11.png)
flag{Zmxhz19ub3RfaGvyzSEHIQ==}看到==,那不得解码一下(得到乱码假的flag?):
![图片[4] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/132db2051a494bc8bd9e2915adc8191b.png)
2. 老老实实按照提示来使用Linux吧:
- 安装gobuster:
apt install gobuster![图片[5] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/45d540c75518459f9bc73e9535fe0444.png)
![图片[6] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/d6aefd32884c4f8c92ea2b49af5b62c9.png)
安装成功。可能出现一些问题,参考地址:
Failed to fetch http://mirrors.neusoft.edu.cn/kali/pool/main/g/glibc/libc6-i386_2.37-12_amd64.deb ![图片[7] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/b3c5dd2a5f1b4ff69495837360d53bfe.png)
删除代码如下:
sudo dpkg --remove-archecture amd64- 使用gobuster扫描,发现git泄漏。扫描命令:
gobuster dir -u http://114.67.175.224:10401/ -w /usr/share/wordlists/dirb/common.txt![图片[8] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/150a820b3ba6446d97c2d9b65121d417.png)
使用如下代码将目标地址的文件和文件夹递归下载:
wget -rhttp://114.67.175.224:10401/.git![图片[9] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/b42bf80c08ec4033949c28f80c27bbb5.png)
- 进入git目录,也就是桌面上IP命名的文件夹
![图片[10] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/86a5473e99594054a5617a79d45e8ffa.png)
![图片[10] - BUGKU-WEB source - MaxSSL](data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20viewBox=%220%200%20210%20140%22%3E%3C/svg%3E)
- 使用git reflog命令查看执行的命令日志
git reflog![图片[11] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/6ed9bab06ca24ef4b4ceb553fcacc533.png)
可以看到flag is here” />git show commit_id
![图片[12] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/f08c2d138fed4649ae4319c1d2d8e3c3.png)
成功的到flag!
得到Flag
flag{git_is_good_distributed_version_control_system}![图片[13] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/cf05fa155d5b4327916232b8db780cc6.png)
新知识点
- gobuster仓库
![图片[14] - BUGKU-WEB source - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/725de26704fe465c9de7aa60b2aa0e0f.png)
- kali中安装gobuster
记得要先更新一下:apt update - gobuster简介
Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具。它是使用Go语言编写的命令行工具,具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具,该工具支持同时多扩展名破解,适合采用多种后台技术的网站。实施子域名扫描时,该工具支持泛域名扫描,并允许用户强制继续扫描,以应对泛域名解析带来的影响。gobuster常用两种扫描模式,dir模式和dns模式。
- 了解使用dirsearch扫描目录
有用的话,请
点赞收藏评论,帮助更多的同学哦
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
