Information disclosure in version control history

# Information disclosure in version control history * Yêu cầu của bài lab là chúng ta sẽ tìm password của `administrator` thông qua version control history. Để tìm kiếm thông tin version control history thì chúng ta sẽ thêm `/.git` vào đường dẫn. Sau khi truy cập thì ta thấy được cái file hiện hành trong folder `.git`. ![Capture01](https://hackmd.io/_uploads/ByIduRkva.png) * Ta dùng lệnh `wget` để download toàn bộ folder `.git` về máy. ![Capture02](https://hackmd.io/_uploads/S1IdO0kD6.png) * Sau khi download xong, ta vào folder `.git` và dùng lệnh `git log` để kiểm tra log. Ta thấy được có 1 commit đã xóa password của admin từ file config. Ngay bên dưới ta thấy có 1 commit khác ghi là đã thêm admin panel. ![Capture04](https://hackmd.io/_uploads/HJLO_RyDT.png) * Chúng ta sẽ sử dụng lệnh `git checkout` với commit dưới để lấy file `admin_panel.php` ![Capture05](https://hackmd.io/_uploads/HkUdOR1Dp.png) * Đọc file này để lấy được password của admin. Sau đó đăng nhập vào user `administrator`. ![Capture06](https://hackmd.io/_uploads/r1IuORyPp.png) ![Capture07](https://hackmd.io/_uploads/rkvdORkvT.png) * Xóa user `carlos` và hoàn thành bài lab. ![Capture08](https://hackmd.io/_uploads/SyLO_0yvT.png) ![Capture09](https://hackmd.io/_uploads/rJIOuAJw6.png)