反序列化漏洞
考点
-
弱口令
解题过程
开头看到这个,爆破。

用户名admin,密码admin888


获得一个照片地址,但没啥用,点help,发现请求不了,连刚才给的照片地址都请求不了。


看了大佬wr,发现把请求改成post可以访问

之后访问WEB-INF/web.xml

根据com.wm.ctf.FlagController可以访问flag

把这一段base64解密可得flag