CTFer成长之路
Web入门
传统CTF线上比赛
- Web
- 二进制
- 逆向
Web常见漏洞
- 注入
- XSS
- 文件包含
- 代码执行
- 上传
- SSRF
漏洞出现频率 、复杂程度
入门 -> 进阶 -> 拓展
信息搜集
知己知彼,百战不殆
必备工作,重中之重
敏感目录泄露
网站源代码、敏感URL地址(后台)
1.Git泄露
使用Git过程中,开发者遗忘
.git目录(默认是隐藏状态),攻击者利用该文件夹获取历史提交源码
(1). 常规git泄露
工具:scrabble
https://github.com/denny0223/scrabble
A simple tool to recover Git repositories from exposed .git folders on remote servers.
./scrabble <ur> [directory]
环境搭建
Web环境
Apache2
(2) git回滚
回滚到上一级
git reset --hard HEAD^
或者借助git diff
git loggit log --statgit diff HEAD commit-id