考察一下大家对java-web知识点的掌握

熟悉的登录界面让你想起了某位故人没有，哈哈，但是并非sql注入。一番基础尝试无果后，看看help吧

这个url让你想起某位故人了吗？对文件下载。但是似乎没有响应。改成post请求即可。

 我看见pk了，要是做过ctf杂项的师傅，多半知道它可能是个压缩包。直接修改后缀为help.zip。但是不用尝试了，因为里边我什么都没发现

这是我从其他wp那拿来的解释

WEB-INF主要包含一下文件或目录：
    /WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。
    /WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中
    /WEB-INF/lib/：存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
    /WEB-INF/src/：源码目录，按照包名结构放置各个java文件。
    /WEB-INF/database.properties：数据库配置文件
漏洞检测以及利用方法：通过找到web.xml文件，推断class文件的路径，最后直接class文件，在通过反编译class文件，得到网站源码 

 所以首先得访问/WEB-INF/web.xml。

这里我们要访问找到flag的class文件。路径这么找呢？？？重点在这

所以路径就是

/WEB-INF/classes/com/wm/ctf/FlagController.class

可能没学过开发。但聪明的你应该 一下就找到规律了吧

返回了这一堆数据。把中间那串base64解码即可