题目很简单需要记点新东西打开这个靶场可以看到这个界面很像用SQL注入的那种但是不行我们查看网页源代码看看有没有其他的信息可以看到下面有一个链接这个是登录界面那个help的点开看一下我们可以看到一个关键参数filename和路径Download也就是这个地方我们需要知道一点新东西是关于java--WEB-INF 目录泄露的他将与下载漏洞相结合。我门要访问的就是WEB-INF/web.xml 这个目录作用就是应用程序部署描述文件他前面WEB-INF这个目录的作用是核心配置与类文件目录这两个文件是无法直接访问的。通过download这个路径这个download这个路径就是他留给我们的后门因为开发者没有做任何的限制而利用传参的参数是filename那么接下来就要去下载WEB-INF/web.xml 文件找到下一步的信息这里我们需要利用post请求直接get会被拦截。我们利用burp抓包修改这里一定要加Content-Type: application/x-www-form-urlencoded改 POST 请求时只改请求方法不补这个头服务器直接无视 Body 参数可以看到我们下载到了WEB-INF/web.xml文件打开看看往下看可以看到重要信息FlagController根据 Java 类文件存储规则包路径com.wm.ctf对应文件系统路径com/wm/ctf/由此我们构建最终payloadfilename/WEB-INF/classes/com/wm/ctf/FlagController.class服务器上只存 .class 文件不存 .java 源码想拿到代码必须下载.class再反编译回源码我们将下载好的文件用记事本打开可以看到一串base64编码解码的到最终flagflag{8b4a56a3-cb96-4e50-89eb-72c3d9df9b55}