Nu1L战队官网:https://nu1l.com
“空指针”高质量挑战赛:https://www.npointer.cn
N1BOOK:https://book.nu1l.com
信息收集
敏感目录泄露
git泄露
常规泄露 https://github.com/denny0223/scrabble
git回滚
(flag在老的提交版本中)
先利用scrabble工具获取源码,再通过git reset--hard HEAD^命令跳到上一版本,除了使用git reset,更简单的方式是通过git log-stat命令查看每个commit修改了哪些文件,再用git diff HEAD commit-id比较在当前版本与想查看的commit之间的变化。
git分支
https://github.com/WangYihang/GitHacker
python GitHacker.py http://127.0.0.1:8000/.git/,本地看到生成的文件夹,进入后执行git log--all或git branch-v命令,只能看到master分支的信息。如果执行git reflog命令,就可以看到一些checkout的记录,除了master还有一个secret分支,但自动化工具只还原了master分支的信息,因此需要手动下载secret分支的head信息,保存到.git/refs/heads/secret中。
执行命令wget http://127.0.0.1:8000/.git/refs/heads/secret
修改GitHacker
if __name__ == '__main__':
baseurl = complete_url('')
temppath = replace_bad_chars(get_prefix(baseurl))
fixmissing(baseurl,temppath)
git泄露的其他利用
除了查看源码的常见利用方式,泄露的git中也可能有其他有用的信息,如.git/config文件夹中可能含有access_token信息,从而可以访问这个用户的其他仓库。
SVN泄露
https://github.com/kost/dvcs-ripper
Seay-svn
SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范将SVN隐藏文件夹暴露于外网环境,可以利用.svn/entries或wc.db文件获取服务器源码等信息。
HG泄露
在初始化项目时,HG会在当前文件夹下创建一个.hg隐藏文件夹,其中包含代码和分支修改记录等信息。
https://github.com/kost/dvcs-ripper
总结经验
不论是.git这些隐藏文件,还是实战中的admin之类的敏感后台文件夹,其关键在于字典的强大,读者可以在某些工具的基础上进行二次开发,以满足自己需要。
https://github.com/maurosoria/dirsearch
CTF线上比赛往往会有重定向一类问题。例如,只要访问.git,便会返回403,此时试探着访问.git/config,如果有文件内容返回,就说明存在git泄露,反之,一般不存在。而在SVN泄露中,一般是在entries中爬取源代码,但有时会出现entries为空的情况,这时注意wc.db文件存在与否,便可通过其中的checksum在pristine文件夹中获取源代码。
敏感备份文件
gedit备份文件
在Linux下,用gedit编辑器保存后,当前目录下会生成一个后缀为“~”的文件,其文件内容就是刚编辑的内容。通过浏览器访问这个带有“~”的文件,便可以得到源代码。
vim备份文件
当用户在编辑文件但意外退出时,会在当前目录下生成一个备份文件,文件名格式为:.文件名.swp,该文件用来备份缓冲区中的内容即退出时的文件内容。
针对SWP备份文件,我们可以用vim -r命令恢复文件的内容。
vim在第一次意外退出时生成的备份文件为.swp,第二次意外退出时的为.swo,第三次退出时的为*.swn,以此类推。
常规文件
常规文件所依靠的无非就是字典的饱和性,不论是CTF比赛中还是现实世界中,我们都会碰到一些经典的有辨识的文件,从而让我们更好地了解网站。
❖ robots.txt:记录一些目录和CMS版本信息。
❖ readme.md:记录CMS版本信息,有的甚至有Github地址。
❖ www.zip/rar/tar.gz:往往是网站的源码备份。
Banner识别
1.Github上成型扫描器对网站进行识别
2.Wappalyzer
