[RoarCTF 2019]Easy Java -不会编程的崽

考察一下大家对java-web知识点的掌握

熟悉的登录界面让你想起了某位故人没有,哈哈,但是并非sql注入。一番基础尝试无果后,看看help吧

这个url让你想起某位故人了吗?对文件下载。但是似乎没有响应。改成post请求即可。

 我看见pk了,要是做过ctf杂项的师傅,多半知道它可能是个压缩包。直接修改后缀为help.zip。但是不用尝试了,因为里边我什么都没发现

这是我从其他wp那拿来的解释

WEB-INF主要包含一下文件或目录:/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。/WEB-INF/database.properties:数据库配置文件
漏洞检测以及利用方法:通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码 

 所以首先得访问/WEB-INF/web.xml。

这里我们要访问找到flag的class文件。路径这么找呢???重点在这

所以路径就是

/WEB-INF/classes/com/wm/ctf/FlagController.class

可能没学过开发。但聪明的你应该 一下就找到规律了吧

返回了这一堆数据。把中间那串base64解码即可

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/536976.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

STM32第七节:GPIO输入——按键检测(包含带参宏)

目录 前言 STM32第七节:GPIO输入——按键检测(包含带参宏) 带参宏 代码替换展示 定义带参宏 GPIO输入——按键检测 硬件部分 端口输入数据寄存器(GPIOx_IDR) 编写程序 配置以及编写bsp_key文件 main函数编程…

04_拖动文件渲染在页面中

新建一个文件夹,跟之前一样,在 Vscode 终端里输入 yarn create electron-app Drag。 在 index.html 添加以下代码,JS 文件夹和 render.js 都是新创建的: 首先,css 文件一般和 html 结合使用,相当于 html 是…

Linux字符设备驱动开发一

linux字符设备驱动 0 驱动介绍1 字符设备驱动1.1 字符设备相关概念和结构体1.2 实现简单的字符设备模块1.3 创建字符设备1.4 总结 应用程序调用文件系统的API(open、close、read、write) -> 文件系统根据访问的设备类型,调用对应设备的驱动API -> 驱动对硬件进…

用微信小程序开启桶装水订购业务

在当今的数字化时代,微信小程序已经成为一种非常流行的在线购物方式。对于桶装水配送行业,利用微信小程序可以提供更加方便快捷的服务,同时也可以提高门店的管理效率。本文将介绍如何制作一个微信小程序,用于支持桶装水配送门店多…

Flask开发类似jenkins构建自动化测试任务工具

1、自动化 某一天你入职了一家高大上的科技公司,开心的做着软件测试的工作,每天点点点,下班就走,晚上陪女朋友玩王者,生活很惬意。 但是美好时光一般不长,这种生活很快被女主管打破。为了提升公司测试效率…

模拟电子技术实验(三)

单选题 1.本实验的实验目的中,输出电阻测量是第几个目的? A. 1个。 B. 2个。 C. 3个。 D. 4个。 答案:C 评语:10分 单选题 2. 有一定输出功率的放大器的 “功率”下面理解正确的是? A. 能…

车辆路径优化问题(VRP)变体及数学模型

车辆路径优化问题变体及数学模型 一、旅行商问题(Travelling salesman problem,TSP)TSP问题数学模型TSP问题求解 二、车辆路径问题(Vehicle Routing Problem,VRP)三、带容量约束的车辆路径优化问题&#xf…

【Web】浅聊XStream反序列化本源之恶意动态代理注入

目录 简介 原理 复现 具体分析之前 我们反序列化了个什么? XStream反序列化的朴素通识 具体分析 第一步:unmarshal解组 第二步:readClassType获取动态代理类的Class对象 第三步:调用convertAnother对动态代理类进行实例…

自适应窗口图片轮播HTML代码

自适应窗口图片轮播HTML代码,源码由HTMLCSSJS组成,记事本打开源码文件可以进行内容文字之类的修改,双击html文件可以本地运行效果,也可以上传到服务器里面,重定向这个界面 代码下载地址 自适应窗口图片轮播HTML代码

Python之requests实现github模拟登录

文章目录 github 模拟登录前言模拟登录流程抓包操作查看登录表单的内容登录操作 模拟登录操作在 main函数的调用获得 auth_token调用/session接口登录处理检测登录是否成功 总结: github 模拟登录 前言 前面学习了requests模块的基础学习后,接下来做一个…

Vulnhub - DC-1

希望和各位大佬一起学习,如果文章内容有错请多多指正,谢谢! 个人博客链接:CH4SER的个人BLOG – Welcome To Ch4sers Blog DC-1 靶机下载地址:DC: 1 ~ VulnHub 0x01 信息收集 Nmap扫描目标主机,发现开…

链路聚合实验(思科)

华为设备参考: 一,技术简介 网络设备的链路聚合技术(Link Aggregation)是一种将多个物理链路捆绑在一起,形成一个逻辑链路的技术。这样做可以增加带宽、提高可靠性和实现负载均衡。 二,实验目的 橙色的阻…