source
点开查看没啥头绪 f12 后发现有个flag 提交后说错误 果然没那么容易
但是出现了个tig
百度得知是git有关工具
于是考虑git泄露 用dirsearch扫一下发现果然泄露了
在网页后面加上.git/后发现出现了目录
但是提示用linux 于是打开kali用weget下载源码
wget -r http://114.67.175.224:19059/.git/
下载后用版本回退看下
用git log发现无异常 git reflog出现版本
(这里注意一下git reflog可以找除被删除的commit忽然reset操作 而git log只能显示所有提交过的版本信息)
找到后用git reset –hard xxxx回退版本
或者直接一个个翻,因为有三个commit(commit是上图最左边的黄色字体部分)
翻的命令:
git show xxxxxx
在一个个翻之后终于找到了flag
社工-伪造
进入后发现要输入QQ,于是先输入10001
一顿乱点后发现之后一个聊天框可以聊天 于是在聊天框直接乱发例如test hack flag之类的
发现要他男朋友才能给flag
又是一顿乱点后发现该环境有关空间可以进去 于是进去看看发现了他男朋友的QQ号和QQid 查了一下还真有。
到这没头绪了,看见评论区说了一下要靠真实QQ伪造 于是用自己的QQ伪造头像和id 然后输入自己的QQ跟她聊天 发送flag就得到了。
