1. Game of Faces

webpageにアクセスするとこんな感じです。

アクセスするごとに色が変わる三つのブロックでした。

ソースコードを確認します。

formタグが気になりますね。どうやらファイルアップロードのコンテンツがあります。

一見三つのブロックしかないので、クリックジャッキングの手法を使ったでしょう。

クリックジャッキングとは？

クリックジャッキング CapmNetwork

By the way, CSSのコード(index.css)を確認すると、

やはり透明にしていました。

というわけで、formタグにはGET方式でサーバにデータを与えているので、
直接URLにデータを投げ込みましょう。

適当にprofile_picというnameのinputタグに値を入れると、Base64の数値が出ました。

デコードするとファイル名のようなものが出ました。
それにアクセスすると、フラグゲットです。