当前位置: 首页 > article >正文

CTFHub技能树-信息泄露-HG泄漏

目录

漏洞产生原因

解题过程


 

当开发人员使用 Mercurial 进行版本控制,对站点自动部署。如果配置不当,可能会将.hg 文件夹直接部署到线上环境。这就引起了 hg 泄露漏洞。

漏洞产生原因

Mercurial(hg)是一种分布式版本控制系统,它与Git类似也可以用于管理代码的版本控制,如果Mercurial服务器的安全措施不当或用户不小心,可能会导致Mercurial源码的信息泄露的问题,而Mercurial源码信息泄露的原理是因为Mercurial服务器上的源代码未被正确保护,导致未经授权的用户可以轻易地访问和下载代码,这可能会导致以下问题

  • 暴露源代码:未经授权的用户可以轻易地访问和下载源代码,包括敏感信息,例如密码、API密钥和凭据等
  • 增加恶意攻击的风险:未经授权的用户可以轻易地访问和下载源代码,黑客可以使用这些代码来发起攻击,例如通过发现代码漏洞来入侵服务器或者应用程序

解题过程

老规矩上来先用dirsearch扫

然后使用 dvcs-ripper 工具中的 rip-svn.pl 脚本进行下载

./rip-hg.pl -v -u http://challenge-9005d52ddc930d30.sandbox.ctfhub.com:10800/.hg

 

拿到flag


http://www.kler.cn/a/308856.html

相关文章:

  • 【AI构思渲染】网络直播——建筑绘图大模型生成渲染图
  • Linux——GPIO输入输出裸机实验
  • Springboot配置全局异常通用返回
  • 准确率调整研究中心
  • Linux 函数在多个地方被同时调用时,函数中的变量如何管理,确保互不影响
  • 边缘计算在智能交通系统中的应用
  • 医学数据分析实训 项目二 数据预处理作业
  • 在 React 中掌握 useImperativeHandle(使用 TypeScript)
  • visual prompt tuning和visual instruction tuning
  • 白话:大型语言模型中的幻觉(Hallucinations)
  • react hooks--useState
  • Spring Boot基础
  • 【C#生态园】虚拟现实与增强现实:C#开发库全面评估
  • 【C++】—— list 的了解与使用
  • 一天认识一个硬件之显示器
  • squid代理及常见的代理上网(Squid Proxy and Common Proxy Internet Access)
  • 组件编译脚本(Component Compilation Script)
  • vue3 动态 svg 图标使用
  • 网络安全实训八(y0usef靶机渗透实例)
  • 深度学习之图像数据集增强(Data Augmentation)
  • Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
  • Vue.nextTick 的工作机制
  • 【乐企-业务篇】开票前置校验服务-规则链服务接口实现(纳税人基本信息)
  • 基于SpringBoot+Vue+MySQL的网上甜品蛋糕售卖店管理系统
  • android 老项目中用到的jar包不存在,通过离线的方法加载
  • 项目实战应用Redis分布式锁