一,根据题目提示点击help,发现如下访问后会下载这个help.docx
二,由此知道该题的可通过目录下载一些文件,题目提示的是easy java 那么就访问一下
/WEB-INF/web.xml
果然得到一些文件,点进去看看
servlet:Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能在于交互式地浏览和生成数据,生成动态Web内容。 说名将flag通过编译后生成一个.class后缀的文件放在了/WEB-INF/classes/com/wm/ctf/FlagController.class
这个路径中
所以构建paylod
filename=/WEB-INF/classes/com/wm/ctf/FlagController.class
得到有一个文件,打开看一下,发现一串乱码,在仔细一看,里面又一串字符=结尾,疑似base64编码
复制粘贴,利用在线工具解码
得到flag。
总结; WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-INF/src/:源码目录,按照包名结构放置各个java文件。 /WEB-INF/database.properties:数据库配置文件
servlet:Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能在于交互式地浏览和生成数据,生成动态Web内容。