shikata ga nai

Private? There is no such things.

Information disclosure in version control historyをやってみた

Hello there, ('ω')ノ

 

ページにアクセスして。

 

f:id:ThisIsOne:20210131144257p:plain

 

現在、多くの開発者がバージョン管理とサイトの自動展開にgitを使用しているので。

構成が不適切な場合は、.gitフォルダがオンラインでデプロイされる可能性があって。

/.gitページを参照して、脆弱性が存在するかどうかを確認して。

 

f:id:ThisIsOne:20210131181633p:plain

 

下記で、ダウンロードして。

 wget -r https://ac391ffc1ea2eb3680f43797007e0060.web-security-academy.net/.git

 

f:id:ThisIsOne:20210131144231p:plain

 

ステータスを確認すると、2つのファイルが変更されていることがわかって。

 

f:id:ThisIsOne:20210131182334p:plain

 

さらに、履歴を見ると、2回送信されていることがわって。

 Remove admin password from config

 Add skeleton admin panel

 

これを確認するには、以前のバージョンに戻る必要があって。

 

f:id:ThisIsOne:20210131182805p:plain

 

以前のバージョンにロールバックすることに。

 git cat-file -p bbb9071c2371fbdf68965b9b5829c1328ac1bedd

 

f:id:ThisIsOne:20210131183510p:plain


admin.confをチェックして、パスワードを取得して。

 ADMIN_PASSWORD=82b9phsefha90xsvtfou

 

f:id:ThisIsOne:20210131183601p:plain

 

下記を入力して。

 82b9phsefha90xsvtfou

 

f:id:ThisIsOne:20210131152037p:plain

 

Deleteして。

 

f:id:ThisIsOne:20210131152120p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210131152203p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain