首先萬能密碼登入，無法成功,也沒爆出一些有用資訊，點選help

到了這個頁面

http://36097577-fb9c-40e5-b6ce-1f73ac1d5f96.node4.buuoj.cn:81/Download?filename=help.docx

對於這種url，可以往檔案包含方向考慮。

直接burp中改get為post。

得到一些亂碼，根據其中的一些字元考慮為WEB-INF/web.xml檔案洩露。

漏洞發生原因

Tomcat的WEB-INF目錄，每個j2ee的web應用部署檔案預設包含這個目錄。
Nginx在對映靜態檔案時，把WEB-INF目錄對映進去，而又沒有做Nginx的相關安全配置（或Nginx自身一些缺陷影響）。
從而導致通過Nginx訪問到Tomcat的WEB-INF目錄（請注意這裡，是通過Nginx，而不是Tomcat訪問到的，因為上面已經說到，Tomcat是禁止訪問這個目錄的。）。
 

訪問此檔案

WEB-INF主要包含一下檔案或目錄:
/WEB-INF/web.xml：Web應用程式配置檔案，描述了 servlet 和其他的應用元件配置及命名規則。
/WEB-INF/classes/：含了站點所有用的 class 檔案，包括 servlet class 和非servlet class，他們不能包含在 .jar檔案中
/WEB-INF/lib/：存放web應用需要的各種JAR檔案，放置僅在這個應用中要求使用的jar檔案,如資料庫驅動jar檔案
/WEB-INF/src/：原始碼目錄，按照包名結構放置各個java檔案。
/WEB-INF/database.properties：資料庫配置檔案
漏洞檢測以及利用方法：通過找到web.xml檔案，推斷class檔案的路徑，最後直接class檔案，在通過反編譯class檔案，得到網站原始碼
 

構造訪問目錄

filename=WEB-INF/classes/com/wm/ctf/FlagController.class

得到一段base64解碼拿到flag