题目
1.首先使用dirsearch扫描网站目录
命令:./dirsearch.py -u http://challenge-70caa32a1958f237.sandbox.ctfhub.com:10080/ -e *
找到git泄露
2.使用GitHack工具clone目标源代码到本地
等待clone success
3.然后工具所在文件夹会产生一个新的文件夹dist,在dist文件夹中会有该网页源码
双击打开文件夹
显示文件夹为空,惊不惊喜!不着急,因为clone下载的文件是.git隐藏文件,我们只要在当前文件夹打开终端,然后执行命令ls -a 即可查看隐藏的文件。
接下来是官方wireup的解决方法
4.此时在克隆的文件夹页面执行git log 命令 查看历史记录
当前版本是remove flag,我们要的flag在add flag中
5.直接与 add flag (523c)这次提交进行比对
恭喜你成功了!