题目来源：NSSCTF——[NCTF 2018]全球最大交友网站
题目链接：https://www.ctfer.vip/problem/961

打开环境：

毫无思路，先学习一下Git源码泄露，Git就是一个内容文件寻址文件系统，可以实现有效控制应用版本的系统balabala。。
git泄露的话攻击者就可以利用该漏洞下载.git文件夹的所有内容，就可以获得敏感信息，甚至获得控制服务器的权限。
以上内容都是参考了这篇文章：https://www.freebuf.com/articles/web/318599.html
这里的a.zip里面包含了.git文件夹

先用dirb扫描网站目录下是否有.git文件

利用工具GitHack：https://github.com/lijiejie/GitHack
python GitHack.py http://ip:端口/.git

得到的文件夹下有README.md:

意思是在tag1.0，没有得到.git文件，换了个工具 #其实扫不扫都行下载的文件就知道了这有.git文件
https://gh.api.99988866.xyz/https://github.com/denny0223/scrabble.git //注意工具要以root身份使用
./scrabble url

git log --stat

git log --stat id

得到flag{git_is_very_go0000od}
提交失败，估计是假的flag
试试继续show

提交flag{git_is_good},提交正确。

其实在提供的文件夹里面有logs

也有相应的tag1.0

这个就提示了要show的id
后面查了查才知道tag是标签的意思，意思就是给这个分支打上标签，1.0不一定就是第一个版本号/猜想。
技术浅薄，还不知道怎么利用。Git在安全开发方面也很重要，对于如何写入内容和其他查看的方式日后会继续学习的。

大多是参考了师傅们的文章做出来的题，但是也积攒了经验，多处不足还望各位师傅们指点。

参考资料：https://www.codercto.com/a/41228.html