bp官方靶场Information disclosure 信息泄露漏洞5

第五关 版本控制历史记录中的信息泄露

这一关就是通过翻阅一些版本历史记录，找到敏感信息

提示：1、靶场通过其版本控制历史记录泄露敏感信息

具体操作：

1、git是版本控制工具，直接访问: /.git 查看目录结构

2、打开kali 用工具下载整个目录的副本

​
wget -r https://0af8009104eb621c80d7495e000e007e.web-security-academy.net/.git/

然后输入命令

ls -a
​
tree -L 1

接下来查看系统版本状态

这就能看到我这种版本变更的状态：git status

​
查看关键提交：
git log --oneline
​

上面看到了这个日志历史——把管理员的密码从配置文件移除了

那这样的话，去找到历史就能够看到管理员的密码

复制下提交的哈希值：5a2ff05

​
​
使用命令：git checkout 5a2ff05  恢复文件

现在切换到5a2ff05这个分支：
git checkout 5a2ff05
​
​

那么还有另外一个被删除的文件，我去切换到这个分支：

git checkout 9ad2654

最后得到了密码：ADMIN PASSWORD=r46jgcagxva168po3axy

那就是说，通过版本历史记录的这种变更，得到了敏感信息

通过得到的密码，进行administrator登录：r46jgcagxva168po3axy

如图，点击管理面板，删除用户，靶场过关