文章目录
- 一、备份文件下载
- 1.1 网站源码
- 1.2 bak文件泄露
- 1.3 vim缓存
- 1.4 .DS_Store
- 二、Git泄露
- 2.1 git知识点
- 2.1 log
- 2.2 stash
- 三、SVN泄露
- 3.1 SVN简介
- 3.2 SVN的文件
- 3.3 SVN利用
- 四、Hg泄露
一、备份文件下载
1.1 网站源码
常见的网站源码备份文件后缀:
- tar
- tar.gz
- zip
- rar
常见的网站源码备份文件名: - web
- website
- backup
- back
- www
- wwwroot
- temp
1.2 bak文件泄露
有些时候网站管理员可能为了方便,会在修改某个文件的时候先复制一份,将其命名为xxx.bak。而大部分Web Server对bak文件并不做任何处理,导致可以直接下载,从而获取到网站某个文件的源代码。
方法:将例如index.php.bar文件重命名index.php,再打开。
1.3 vim缓存
当vim异常退出时,都会生成一个用于备份缓冲区内容的swp临时文件,来记录了用户在非正常关闭vim编辑器之前未能及时保存的修改,用于文件恢复。假如原文件名为index.php
- 第一次产生的交换文件名为
.index.php.swp - 第二次产生的交换文件名为
.index.php.swo - 第三次产生的交换文件名为
.index.php.swn
方法:同上,改文件名为index.php再打开。
1.4 .DS_Store
.DS_Store是 Mac OS 保存文件夹的自定义属性的隐藏文件,通过.DS_Store可以知道这个目录里面所有文件的清单。直接访问xxx/.DS_Store可以下载该文件,但是无法读取,要想读取该文件,需要用到ds_store_exp.py,用法:python ds_store_exp.py <url>/.DS_Store。
再访问该脚本扫描到的文件/文件夹。
二、Git泄露
2.1 git知识点
.git目录:使用git init初始化git仓库的时候,生成的隐藏目录,git会将所有的文件,目录,提交等转化为git对象,压缩存储在这个文件夹当中。.git/config:Git仓库的配置文件.git/config:这个文件包含了一个档期分支(branch)的引用,通过这个文件Git可以得到下一次commit的paren除了上述文件,还有其他文件。
git信息泄露的原因:当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。
判断是否存在git泄露?
使用curl访问目标网址下的xxx/.git、xxx/.git/config或者xxx/.git/HEAD,看是否有内容返回。
说明存在git信息泄露,再使用githacker。使用githacker的目的是去github上下载网站源码。
2.1 log
下载网站源码:python2 Githack.py http://challenge-b600332c47be484d.sandbox.ctfhub.com:10800/.git
进入相应的目录,直接使用git log查看日志
当前所处的版本为
remove flag,flag 在add flag这次提交中
-
方法一:直接与
add flag (dc33)这次提交进行比对,命令如下:git diff dc33(add flag)
-
方法二:直接切换到
add flag (dc22)这个版本。命令如下:git reset --hard dc33(add flag)
2.2 stash
知识点:git 泄露 .git/refs/stash,stash用于保存 git 工作状态到 git 栈,在需要的时候再恢复。使用stash命令可以恢复文件。
下载网站源码:python2 Githack.py http://challenge-ccc966c169231c6b.sandbox.ctfhub.com:10800//.git
进入到相应文件夹,执行 git stash list 查看是否有stash:
此处存在
stash
git stash pop弹出git栈中的文件。
flag就在txt文件中。
> 可以将stash栈理解为一个放被删除的文件的栈,就相当于一个回收站。
三、SVN泄露
3.1 SVN简介
SVN(subversion)是一个开放源代码的版本控制系统,通过采用分支管理系统的高效管理,简而言之就用用于多个人共同开发同一个项目,实现的共享资源,实现最终集中式的管理。在使用 SVN 管理本地代码过程中,使用svn checkout功能来更新代码时,项目目录下会自动生成隐藏的.svn文件夹,其中包含重要的源代码信息;
造成SVN源代码漏洞的主要原因是管理员操作不规范,在发布代码时未使用导出功能,而是直接复制代码文件夹到WEB服务器上,导致.svn被暴露于外网环境,黑客对此可进一步利用:
- 利用其中包含的用于版本信息追踪的
.svn/entries文件,获取到服务器源码、svn服务器账号密码等信息; - 利用
.svn/wc.db数据库文件获取到一些数据库信息; - 利用SVN产生的
.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录),如果服务器没有对此类后缀做解析,则可以直接获得文件源代码。
3.2 SVN的文件
entries和format文件,数据只有个数字12。wc.db-journal空文件tmp空目录pristine里是一些00~ff的名称的文件夹,每个文件夹里有若干哈希过的.svn-base备份文件。wc.db文件用SQLiteStudio软件打开 wc.db文件,在 NODES 表中,遍历这个表里的每一行,就可以下载到整个项目里的代码了,而且还能得到对应的真实文件名。
3.3 SVN利用
- 判断是否存在SVN泄露
说明存在svn泄露
- 使用dvcs-ripper下载
.svn文件夹,命令如下:rip-svn.pl -u <url>/.svn。注意要安装perl环境。
- 去
pristine文件夹中找备份文件。
四、Hg泄露
当开发人员使用 Mercurial(hg) 进行版本控制,对站点自动部署。在初始化项目时,HG会在当前文件夹下创建一个.hg 隐藏文件夹,其中包含代码和分支修改记录等信息。
可以先使用curl <url>/.hg测试一下:
之前.svn也是301,说不定存在hg泄露。
使用dvcs-ripper下载网站源码,命令如下:rip-hg.pl -v -u <url>/.hg/
使用tree .hg查看文件夹结构:
递归查找子文件目录下的关键词flag:grep -r flag
进入cd .hg/store/fncache,这里应该是保存网站源码缓存的地方,可以看到有index.html和50x.html。
故访问http://challenge-e04eb8044f3c9d3e.sandbox.ctfhub.com:10800/flag_1807820070.txt.
