這個周末玩了一個 CTF 線上賽。其中有一題是說有一個新手架了一個網站,然後分別使用了 Nginx、PHP、git 這些技術。點開題目提供的網址後,就看到一個 Hello World 的網頁。打開原始碼後,只看到幾行簡單的基礎程式碼,也沒有看到可疑的東西。正當我打算要放棄的時候,突然想到題目有特別提到他有使用 git。於是就嘗試了打開該網站的 .git 資料夾,不過馬上就被 403 Forbidden 打臉。
就在我快想不到到底怎麼辦的時候,突然又靈機一動。想到雖然我看不到 .git 的內容,但或許我仍可以下載裡面的檔案?於是我馬上隨便打開我手邊的一個 git repository。發現 .git 資料夾內一定有 HEAD 這個檔案。於是我馬上就嘗試下載 .git/HEAD。果不其然!可以抓到這個檔案!那麼接下來就有個方向了!