CTFHub Git泄露实战:从log历史中挖flag的两种姿势(附GitHack工具详解)
CTFHub Git泄露实战:从log历史中挖flag的两种姿势(附GitHack工具详解)
在CTF竞赛中,Git泄露漏洞已成为Web类题目的经典考点。当开发者疏忽地将.git目录部署到生产环境时,攻击者便能利用版本控制的历史记录挖掘敏感信息。本文将深入剖析两种从git log中提取flag的高效方法,并详解GitHack工具的高级用法。
1. Git泄露漏洞原理与侦察技巧
.git目录作为Git版本控制系统的核心存储库,默认包含以下关键文件:
objects/:存储所有提交对象、文件内容refs/:记录分支和标签的指向logs/:保存所有引用变更历史config:仓库配置信息
漏洞利用前提条件:
- 目标网站存在
.git目录可访问 - 目录未设置
deny from all等访问限制 - 历史提交中包含敏感信息(如flag)
侦察阶段推荐使用组合工具:
# 目录扫描工具 python3 dirsearch.py -u http://target.com -e git # 专用.git检测脚本 python3 git-dumper.py http://target.com/.git output_dir注意:实际比赛中需遵守规则,仅对授权目标进行测试
2. GitHack工具链深度解析
GitHack作为自动化利用工具,其工作流程可分为三个阶段:
| 阶段 | 操作 | 关键技术 |
|---|---|---|
| 索引重建 | 下载index文件 | 解析Git索引格式 |
| 对象恢复 | 获取objects/数据 | zlib解压缩 |
| 版本还原 | 重建提交历史 | 引用链追踪 |
高级参数组合示例:
# 递归下载所有分支 python GitHack.py -u http://target.com/.git --all-branches # 指定文件类型下载 python GitHack.py -u http://target.com/.git -e "*.php,*.txt" # 暴力破解object目录 python GitHack.py -u http://target.com/.git --brute-objects常见问题解决方案:
- 报错"Object not found":尝试
--deep-search模式 - 网络中断恢复:使用
--resume继续下载 - 文件校验失败:手动补全缺失的object文件
3. 历史记录挖掘双解法实战
3.1 差异对比法(git diff)
通过对比特定提交版本,可精确定位flag变动位置:
# 查看完整提交历史 git log --pretty=format:"%h - %an, %ar : %s" # 对比相邻两个提交 git diff commitA commitB --color-words # 仅显示新增内容 git diff commitA commitB --word-diff | grep "+"典型工作流程:
- 使用
git log定位可疑提交 - 用
git show commitID查看变更详情 - 对含flag的提交执行差异分析
3.2 版本回退法(git reset)
该方法通过还原历史版本直接获取flag文件:
# 查看文件变更记录 git log --follow flag.txt # 回退到指定版本(危险操作) git reset --hard target_commit # 创建临时分支保护现场 git checkout -b temp_branch target_commit关键参数对比:
| 参数 | 工作区 | 暂存区 | 风险等级 |
|---|---|---|---|
| --soft | 保留 | 保留 | 低 |
| --mixed | 保留 | 重置 | 中 |
| --hard | 重置 | 重置 | 高 |
4. 防御方案与实战技巧
开发人员应配置.htaccess防止泄露:
RedirectMatch 404 /\.gitCTF选手必备的进阶技巧:
- 对象直接访问:通过
curl获取特定objectcurl http://target.com/.git/objects/xx/xxxxxx | zlib-flate -uncompress - 引用泄露利用:检查
info/refs获取分支信息 - 钩子脚本分析:查看
.git/hooks/寻找线索
在最近某次CTF比赛中,选手通过组合以下方法成功获取flag:
- 利用
--bare模式克隆仓库 - 分析
reflog找到被删除的提交 - 使用
git fsck检查悬空对象