目錄

• [RoarCTF]Easy Java
  • 知識點
    • 1、WEB-INF/web.xml泄露

[RoarCTF]Easy Java

題目復現鏈接：https://buuoj.cn/challenges
參考鏈接：樓上請讓路 RoarCTF2019 writeup

知識點

1、WEB-INF/web.xml泄露

貼一個別人的源碼泄露總結ctf/web源碼泄露及利用辦法【總結中】

WEB-INF主要包含一下文件或目錄：
    /WEB-INF/web.xml：Web應用程序配置文件，描述了 servlet 和其他的應用組件配置及命名規則。
    /WEB-INF/classes/：含了站點所有用的 class 文件，包括 servlet class 和非servlet class，他們不能包含在 .jar文件中
    /WEB-INF/lib/：存放web應用需要的各種JAR文件，放置僅在這個應用中要求使用的jar文件,如數據庫驅動jar文件
    /WEB-INF/src/：源碼目錄，按照包名結構放置各個java文件。
    /WEB-INF/database.properties：數據庫配置文件
漏洞檢測以及利用方法：通過找到web.xml文件，推斷class文件的路徑，最后直接class文件，在通過反編譯class文件，得到網站源碼

PS:GET不能讀取文件有點懵，沒想到居然要改成POST