Writeup: PragyanCTF19
1. Game of Faces
webpageにアクセスするとこんな感じです。
アクセスするごとに色が変わる三つのブロックでした。
ソースコードを確認します。
formタグが気になりますね。どうやらファイルアップロードのコンテンツがあります。
一見三つのブロックしかないので、クリックジャッキングの手法を使ったでしょう。
クリックジャッキングとは?
By the way, CSSのコード(index.css)を確認すると、
やはり透明にしていました。
というわけで、formタグにはGET方式でサーバにデータを与えているので、
直接URLにデータを投げ込みましょう。
適当にprofile_picというnameのinputタグに値を入れると、Base64の数値が出ました。
デコードするとファイル名のようなものが出ました。
それにアクセスすると、フラグゲットです。