题目名为 菜刀666 菜刀都是 POST 所以直接搜 POST逐流追踪
从头开始看流1可以看到一些正常的菜刀shell
逐个往下
追踪流7 看到一串很长的内容 看到传了两个参数
z1参数跑出来是一个照片的地址
z2是十六进制保存文件就是这个 6666.jpg
追踪流9
跑一下可以看到传了一个 hello.zip
可以大致看出zip里面有个 flag.txt 然后需要密码
直接用 binwalk 分离出zip文件
上面的图片就是压缩包的密码
解压压缩包得到flag
