XMAN

先从web开始说起吧，因为错过了时间所以在平台关闭之前抓紧时间练了一练，中间请教了几个大佬

web第一题——variacover

拿到题目，是个源代码

发现这里存在变量覆盖，还有看到两个MD5==，往弱口令方向想，然后

一开始我还不知道为什么，然后搜了一下才懂得

0e后面会被识别成0的10的多少次方，再加上php是弱语言，会自动判断数据类型，所以零=零

WEB第二题——urldecode

一打开看到?me=，应该是个参数吧，所以先尝试

再按照提示继续

发现除了great啥也没有，打开源代码查看一下
发现需要decode

这里encode一次还没出来，第二次才出来

misc第一题——pretty_cat

拿到手是一个可爱小猫的图片
思路，首先扔到stegsolve看看有没有分层（两张图片合到一张）
没有

然后考虑是否隐藏了其他文件，这里我扔到了kali binwalk了一下发现没什么奇怪的没有zip

最后，都没有发现只好扔到winhex看看16进制，然后有发现了

看到==号就很亲切，base64，把两段合起来拿到flag

嗯，今天先做了这三题，挺好的拓展了思路，尤其是我还是个小白