CTFHub解题笔记之Web信息泄露篇:10.SVN泄露

1.题目描述

题目位置

网页显示

2.解题思路

在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。一些网站管理员在发布代码时,不愿意使用'导出'功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的entries文件,获取站点信息。

攻击者可以利用.svn/entries文件,获取到应用程序源代码、svn服务器账号密码等信息。同时,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录),如果服务器没有对此类后缀做解析,黑客则可以直接获得文件源代码。攻击者利用该漏洞可下载网站源代码,获得数据库的连接账号密码等敏感信息,或者通过获取的源代码分析出新的系统漏洞,从而进一步入侵系统。

3.解题步骤

利用dvcs-ripper将文件下载到本地。

复制代码
./rip-svn.pl -u http://xxx/.svn

进入到.svn,利用tree口令显示当前目录的树形结构。

可以看到pristine目录下有两个文件,我们逐一查看,获得flag。

相关推荐
IMPYLH6 小时前
Python 的内置函数 reversed
笔记·python
ysa0510309 小时前
数论基础知识和模板
数据结构·c++·笔记·算法
今天背单词了吗98010 小时前
算法学习笔记:7.Dijkstra 算法——从原理到实战,涵盖 LeetCode 与考研 408 例题
java·开发语言·数据结构·笔记·算法
mitt_10 小时前
《人生顶层设计》读书笔记7
笔记
智者知已应修善业10 小时前
【51单片机节日彩灯控制器设计】2022-6-11
c语言·经验分享·笔记·单片机·嵌入式硬件·51单片机
Jyywww12110 小时前
微信小程序学习笔记
笔记·学习·微信小程序
m0_6786933311 小时前
深度学习笔记29-RNN实现阿尔茨海默病诊断(Pytorch)
笔记·rnn·深度学习
sigmoidAndRELU12 小时前
读Vista
笔记·stable diffusion·世界模型
Sincerelyplz12 小时前
【Temproal】快速了解Temproal的核心概念以及使用
笔记·后端·开源
Yo_Becky14 小时前
【PyTorch】PyTorch预训练模型缓存位置迁移,也可拓展应用于其他文件的迁移
人工智能·pytorch·经验分享·笔记·python·程序人生·其他