题目是登陆页面,查看源码

发现一个连接,跳转到帮助文档

之后构造连接访问,发现是java语句,帮助文档不存在

补充知识点:

JAVA WEB目录结构

WEB-INF:Java的web应用安全目录;

此外如果想在页面访问WEB-INF应用里面的文件,必须要通过web.xml进行相应的映射才能访问;

敏感目录举例:

1
2
3
4
5
6
/WEB-INF/web.xmlWeb应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则
/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中
/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
/WEB-INF/src/:源码目录,按照包名结构放置各个java文件
/WEB-INF/database.properties:数据库配置文件

尝试直接访问/WEB-INF/web.xml,未找到文件

burp抓包,将刚才帮助文档包含文件,修改为WEB-INF/web.xml,然后还要将请求方式修改为POST

简单来说,java web是基于Tomcat服务器搭建的,通过servlet来开发。

狭义来说servlet是指Java语言实现的一个接口。

可以看到servlet标签属性中有flag的字样,但不知道怎么访问。

发现操作flag的关键文件位置,读取(或下载)/WEB-INF/classes/下的flag的关键文件位置,又因为Java字节码类文件(.class)是Java编译器编译Java源文件(.java)产生的“目标文件”。

最终得出flag的关键文件位置为:/WEB-INF/classes/com/wm/ctf/FlagController.class

补充知识点:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<servlet-class>  
这个就是指向我们要注册的servlet 的类地址, 要带包路径

<servlet-mapping>  
是用来配置我们注册的组件的访问路径,里面包括两个节点
一个是   <servlet-name>  这个要与前面写的servlet那么一致
另一个是  <url-pattern>  配置这个组件的访问路径

<servlet-name> 这个是我们要注册servlet的名字,一般跟Servlet类名有关


举个例子
<servlet>
    <servlet-name>LoginServlet</servlet-name>
    <servlet-class>com.breeze.servlet.LoginServlet</servlet-class>
  </servlet>

servlet包含了路径信息,我们尝试包含一下FlagController所在路径,不过这次要在前面加上classes来访问来访问class文件目录(详见上面的目录结构),且文件后缀为.class

查看返回内容,方块是burp不支持的中文相关字符。其中发现返回有base64编码字符,拿去解码。