题目描述

题目截图如下：

进入场景看看：

解题思路

• 看源码，看F12网络请求
• 没有东西只能老老实实按照提示用Linux去扫描目录

相关工具

• kali虚拟机
• 安装gobuster 或者dirsearch

解题步骤

1. 先查看源码：

flag{Zmxhz19ub3RfaGvyzSEHIQ==}

看到==，那不得解码一下（得到乱码假的flag？）：

2. 老老实实按照提示来使用Linux吧：

• 安装gobuster：

apt install gobuster

安装成功。可能出现一些问题，参考地址：

Failed to fetch http://mirrors.neusoft.edu.cn/kali/pool/main/g/glibc/libc6-i386_2.37-12_amd64.deb 

删除代码如下：

sudo dpkg --remove-archecture amd64

• 使用gobuster扫描，发现git泄漏。扫描命令：

gobuster dir -u http://114.67.175.224:10401/ -w /usr/share/wordlists/dirb/common.txt

使用如下代码将目标地址的文件和文件夹递归下载：

wget -r  http://114.67.175.224:10401/.git

• 进入git目录，也就是桌面上IP命名的文件夹
  
• 使用git reflog命令查看执行的命令日志

git reflog

可以看到flag is here?

• 使用git show commit_id 命令查看commit，标黄色的是commit的id

git show commit_id

成功的到flag！

得到Flag

flag{git_is_good_distributed_version_control_system}

新知识点

• gobuster仓库

• kali中安装gobuster
  记得要先更新一下：apt update
• gobuster简介

Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具。它是使用Go语言编写的命令行工具，具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具，该工具支持同时多扩展名破解，适合采用多种后台技术的网站。实施子域名扫描时，该工具支持泛域名扫描，并允许用户强制继续扫描，以应对泛域名解析带来的影响。gobuster常用两种扫描模式，dir模式和dns模式。

• 了解使用dirsearch扫描目录

有用的话，请点赞收藏评论，帮助更多的同学哦