bugku-web-source

打开题目，没什么线索，f12查看到一个flag，发现是假的flag

没有线索.先扫目录，题目说用linux环境，可以用御剑也可以用gobuster

Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具

（gobuster安装教程：kali中安装gobuster教程_dark的博客-CSDN博客）

（使用教程：GitHub - OJ/gobuster: Directory/File, DNS and VHost busting tool written in Go）

1. 使用dir模式

a.命令

gobuster dir -u http://114.67.246.176:16953/ -w /usr/share/wordlists/dirb/common.txt

 b.运行

 

然后扫出来发现有git文件 

2.用wget命令来下载git文件

a.命令

wget -r http://114.67.246.176:16953/.git

-r是表示递归的意思,就是把这个路径下所有的文件都给下载下来

 b.截图

 3 查看执行的命令日志

 a.命令

   cd 114.67.246.176:16953/.git/logs/ 

   git reflog

 git reflog 可以查看所有分支的所有操作记录（包括已经被删除的 commit 记录和 reset 的操作）

 b.截图

4.查看commit 

a.命令      

git show commit_id>

git show commit_id命令可查看commit的具体内容

git show 40c6d51

 b.运行

接下来就一个个文件去查看

然后在git show 40c6d51找到flag