一、漏洞原理
网站开发使用Git做版本管理,上线部署时未删除项目根目录隐藏的 .git 文件夹,服务器未配置访问拦截规则,攻击者可直接访问 ip:端口/.git/ 获取完整版本仓库,通过Git命令读取网页源码、历史提交记录,拿到注释、后台地址、flag等敏感信息。
本次靶场地址: http://180.76.235.121:33354 ,页面提示 git很好用!聪明的我当然用! ,直接暴露Git泄露漏洞。
二、环境前置准备
1. 安装Git Windows客户端
下载 Git-2.53.0.2-64-bit.exe 默认安装,安装完成后文件夹右键可打开 Git Bash Here 终端。
2. 安装git-dumper源码下载工具
git-dumper是Python编写的Git仓库导出工具,专门用于拉取泄露的.git目录,打开Git Bash执行安装命令:
pip install git-dumper
执行后出现 Requirement already satisfied 代表安装成功,输出的黄色urllib3版本兼容警告不影响工具运行,可直接忽略。
三、完整漏洞利用实操步骤
步骤1:切换工作目录(D盘存放源码)
cd /d
命令行前缀变为 Lenovo@MINGW64 /d 即切换完成。
步骤2:使用git-dumper拉取靶机Git仓库
复制命令后,在Git Bash黑框内鼠标右键粘贴执行:
git-dumper http://180.76.235.121:33354/.git/ ./git源码文件夹
终端持续输出 Fetching 代表正在拉取仓库文件,少量404报错属于正常现象,最后出现 Running git checkout 代表源码还原完毕。
步骤3:进入下载好的仓库文件夹
输入 ls 查看D盘文件,确认仓库文件夹名为 git源码文件夹 ,执行进入目录命令:
cd git源码文件夹
前缀出现 (master) 标识,说明当前处于Git仓库根目录。
步骤4:查看提交记录,判断仓库版本情况
bgit log
日志仅输出一条 init 初始化提交,代表仓库无历史版本,不能执行版本回滚命令 git reset --hard HEAD^ ,强行执行会抛出参数报错。
步骤5:查看完整提交源码,提取Flag(核心操作)
由于无历史版本,直接使用 git show 打印当前提交全部网页代码:
git show
终端输出 index.html 完整HTML源码,在页面注释中找到隐藏flag:
flag{92aa7e30-fa34-48e8-9696-0578940ee4d2}
四、实操高频报错踩坑汇总
1. bash: cd: git_source: No such file or directory
自定义文件夹名称与实际下载目录不匹配,先用 ls 命令查看当前目录所有文件,确认真实文件夹名称后再cd进入。
2. fatal: ambiguous argument 'HEAD^': unknown revision
仓库仅有1条初始化提交,不存在上一个历史版本,放弃回滚操作,直接使用 git show 读取完整源码。
3. No stash entries found.
仓库无暂存、未保存的临时文件, git stash pop 命令无任何作用,无需执行。