这个靶场拿到手上只有一个helloworld
通过源码发现,存在一个flag.xmas.js文件
但是我们访问这个文件是失败的,那尝试flag.js文件
发现成功访问,但是通过坎坷的阅读发现并没有什么有用的信息:
除了比心一无所有
那既然找不到什么有用的信息,使用扫描工具尝试进行扫描
发现大量git文件
那么这题考的就是git源码泄露问题
使用GitHacker进行扫描:
发现三个文件,其中有个PHP文件,打开看看:
不在这里,flag.js刚才已经看过了。
换个工具:使用Git_Extract 尝试:
比刚才要多一个文件
通过比较这两个文件
vim -d flag.js flag.04bb09
就可以找出flag(自己也没成功,试了几次不知道哪里错了,主要是学方法,莫怪)