Git 源码泄露 开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码。 确定是否存在泄漏 想要确定是否存在这个漏洞,可以通过以下方式。首先是看看有没有提示醒目地指出 G ...
转载
2021-10-06 21:16:00
1267阅读
2评论
Git 源码泄露 开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码。 确定是否存在泄漏 想要确定是否存在这个漏洞,可以通过以下方式。首先是看看有没有提示醒目地指出 G ...
转载
2021-10-06 21:16:00
1026阅读
2评论
Git 源码泄露 开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码。 确定是否存在泄漏 想要确定是否存在这个漏洞,可以通过以下方式。首先是看看有没有提示醒目地指出 G ...
转载
2021-10-06 21:16:00
677阅读
2评论
这里写目录标题Git泄露利用.git恢复文件原理GitHack找hash首先有必要说以下hash值存在的位置题目练习CTFHub练习 Git泄露Git是分布式版本控制系统。参考文章Git作用描述。为什么Git会泄露开发人员在开发时,常常会先把源码提交到远程托管网站(如github),最后再从远程托管网站把源码pull到服务器的web目录下。因为.git文件时一个隐藏文件,如果一不小心把.git文
前言
在
使用Memory Analyzer tool(MAT)分析内存泄漏(一)中,我介绍了内存泄漏的前因后果。在本文中,将介绍MAT如何根据heap dump分析泄漏根源。由于测试范例可能过于简单,很容易找出问题,但我期待借此举一反三。
一开始不得不说说ClassLoader,本质上,它的工作就是把磁盘上的类文件读入内存,然后调用java.l
数字证书,作为网络世界的身份证,提供了一种在Internet上验证通信实体身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。譬如,Web Server通过提供自己的数字证书来证明自己的身份,用户得以确认所访问的网站就是想要访问的网站,建立起通信双方的信任关系。数字证书应用除服务器证书外,还包括电子邮件证书,代码签名证书,文档签名证书等。保证证书的有效性对用户和企业来说都是至关重要的。就在
一、【MISC】domainhacker1、导出http发现一个压缩包,打开以后发现是有密码的,尝试在流量中分析寻找密码2、观察流量发现有1.php,与1.rar相似,盲猜可能与该流量相关分析流量的过程中发现有与base64加密相关内容,尝试直接解密。尝试删除前两个字母得到用相同方法继续寻找并不断解密3、发现相关流量4、解压压缩包,打开1.txt文件,尝试带入flag,确定flag值flag{41
转载
2024-05-09 11:19:18
213阅读
# CTF Java 信息泄露的实现指导
在网络安全领域,CTF(Capture The Flag)是一种常见的竞赛形式,挑战中经常会包含信息泄露的漏洞。在这篇文章中,我们将学习如何在Java应用程序中实现一个简单的信息泄露演示。我们将通过以下几个步骤来完成整个流程。
## 流程图
```mermaid
flowchart TD
A[开始] --> B[搭建Java环境]
B
一.该靶场相关知识要点a.[SSH] 证书登陆b.[john]密码破解c.[Linux] 相关提权思路d.[C/C++]缓冲区溢出a.[SSH] 证书登陆SSH
为建立在应用层基础上的安全协议,专为远程登录会话和其他网络服务提供安全性的协议。 一般我们会使用到两种方式去登陆
SSH,密码登陆和证书登陆。初学者都喜欢用密码登录,甚至是
root 账户登录,密码是 123456,这样很容易遭
原创
2023-08-07 21:33:27
406阅读
CTFer成长之路~Git泄露漏洞分析与实战:从CTF挑战看源码泄露风险
一、漏洞背景与危害
在CTF竞赛和真实渗透测试中,Git泄露是一类常见的高危漏洞。当开发者误将.git目录部署到生产环境时,攻击者可通过该目录完整恢复项目历史版本,包括敏感信息、未发布的特性代码甚至硬编码的凭证。
典型危害场景:
通过git log获取提交历史中的测试账号/临时密码
从config文件读取内网服务器地址
[size=medium]Java内存泄露原因整理
一、Java内存回收机制
不论哪种语言的内存分配方式,都需要返回所分配内存的真实地址,也就是返回一个指针到内存块的首地址。Java中对象是采用new或者反射的方法创建的,这些对象的创建都是在堆(Heap)中分配的,所有对象的回收都是由Java虚拟机通过垃圾回收机制完成的。GC为了能够正确释放对象,
转载
2023-10-26 11:32:25
88阅读
0x01 .hg源码泄漏漏洞成因: hg init的时候会生成.hg<span class="pln">e</span><span class="pun">.</span><span class="
转载
2023-08-10 23:34:08
0阅读
信息泄露部分题解
原创
2023-11-19 11:35:13
373阅读
点赞
目录Git 源码泄露确定是否存在泄漏获取泄露的源码例题:攻防世界-lottery例题:攻防世界-mfw例题:JMUCTF-leak_snakeGit 源码泄露开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码。确定是否存在泄漏想要确定是否存在这个漏洞,可以通过以下方式
转载
2024-03-12 15:07:21
452阅读
后台扫描 在拿到一个网页之后除了打开 F12 和抓包以外,还可以考虑扫一下后台,所谓扫描后台就是扫描站点的目录下还有哪些页面可以访问,看一下有没有类似管理员页面、备份文件泄露和其他文件等。 御剑后台扫描 御剑后台扫描是 T00LS 大牛的作品,可以用于扫描后台,同时这也为程序开发人员增加了难度,需要 ...
转载
2021-10-06 21:07:00
4586阅读
2评论
我们今天来学习一下ctf训练当中的ssh私钥泄露的问题,我们并且通过这个泄露的私钥,最终从靶场主机的外部进入到靶场主机内部
原创
2022-07-14 16:37:10
261阅读
...
转载
2021-10-12 21:07:00
1420阅读
2评论
主要学习一下git 关于checkout的命令 需要明白的一个事情,在没有创建分支以前,头指针HEAD指向的是一个引用,也就是.git/refs/heads/master,因此所有的reset命令都是针对master这条线设置的。HEAD可以理解为当前工作区的基础版本,当前的工作内容都是在上一次commit之后做的,但是HEAD并不是总指向master,可以指向其他的分支,或者某个提交的
转载
2023-07-18 11:32:20
86阅读
如果Git创建的文件或者目录包含在www服务可访问的路径,可造成网站源码等敏感内容泄漏。怎么取消git目录?三个命令分享Git 是开源的版本控制系统,可以帮助开发人员在所有团队成员之间共享代码。git 提供了一些有用的命令,如提交,拉取,删除等等。这些命令可以帮助你管理代码库中的文件和目录。当你需要删除某个目录时,你可以使用一些命令来完成。在这篇文章中,我们将讨论如何取消 Git 目录。Git 中
原创
精选
2023-12-14 09:13:24
428阅读
打开靶场,使用disearch进行扫描发现git泄露 python dirsearch.py -u <url> -e * 使用GitHack将目标源代码clone到本地 python Git_Extract.py <url>/.git 打开生成的文件夹,flag就在txt文件中 也可通过git lo ...
转载
2021-08-18 19:40:00
677阅读
2评论
