题目描述

题目截图如下:

进入场景看看:

解题思路

  • 看源码,看F12网络请求
  • 没有东西只能老老实实按照提示用Linux去扫描目录

相关工具

  • kali虚拟机
  • 安装gobuster 或者dirsearch

解题步骤

  1. 先查看源码:

flag{Zmxhz19ub3RfaGvyzSEHIQ==}

看到==,那不得解码一下(得到乱码假的flag?):

2. 老老实实按照提示来使用Linux吧:

  • 安装gobuster:
apt install gobuster



安装成功。可能出现一些问题,参考地址:

Failed to fetch http://mirrors.neusoft.edu.cn/kali/pool/main/g/glibc/libc6-i386_2.37-12_amd64.deb


删除代码如下:

sudo dpkg --remove-archecture amd64
  • 使用gobuster扫描,发现git泄漏。扫描命令:
gobuster dir -u http://114.67.175.224:10401/ -w /usr/share/wordlists/dirb/common.txt

使用如下代码将目标地址的文件和文件夹递归下载:

wget -rhttp://114.67.175.224:10401/.git

  • 进入git目录,也就是桌面上IP命名的文件夹
  • 使用git reflog命令查看执行的命令日志
git reflog


可以看到flag is here” />git show commit_id


成功的到flag!

得到Flag

flag{git_is_good_distributed_version_control_system}

新知识点

  • gobuster仓库

  • kali中安装gobuster
    记得要先更新一下:apt update
  • gobuster简介

Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具。它是使用Go语言编写的命令行工具,具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具,该工具支持同时多扩展名破解,适合采用多种后台技术的网站。实施子域名扫描时,该工具支持泛域名扫描,并允许用户强制继续扫描,以应对泛域名解析带来的影响。gobuster常用两种扫描模式,dir模式和dns模式。

  • 了解使用dirsearch扫描目录

有用的话,请点赞收藏评论,帮助更多的同学哦