解题地址

flag1：随便填入东西然后发送。接着查看重定向的网页，把post参数后的内容删掉或修改可以得到flag。

flag2：涉及到padding oracle漏洞。
详情：利用Padding Oracle攻击获取加密密钥 - FreeBuf互联网安全新媒体平台
首先随便填入东西然后发送。接着查看重定向的网页，根据第一步的报错：

b64d = lambda x: base64.decodestring(x.replace('~', '=').replace('!', '/').replace('-', '+'))

将~替换回=，!替换回/，-替换回+
比如：

?post=E1Hk59mS3OOpLEupwNWgmEYIefK7mZOb72sG4OG6NIzswDIuHJrT40IYDrxZ0qX05pAzBI76yaSFLXSBb-nq!GMLeW5nwvk8U29FO2Qrd!9oDJQKOTLrM!H4C!IHvEaHETAgBu9eUNrK2Uz4RpUnsQz7FjF0ni4tJBjBvpAYUC7KS5JR9KtaaC-Q2i6!lHVofbN9Vg8OGi37yTM8NXSrHA~~

替换后：

?post=E1Hk59mS3OOpLEupwNWgmEYIefK7mZOb72sG4OG6NIzswDIuHJrT40IYDrxZ0qX05pAzBI76yaSFLXSBb+nq/GMLeW5nwvk8U29FO2Qrd/9oDJQKOTLrM/H4C/IHvEaHETAgBu9eUNrK2Uz4RpUnsQz7FjF0ni4tJBjBvpAYUC7KS5JR9KtaaC+Q2i6/lHVofbN9Vg8OGi37yTM8NXSrHA== 

然后使用kali里的padbuster：

padbuster 完整网址 参数的内容 16 -encoding 0

[*]块大小是16（16字节=128比特位）
[*]如果参数是小写十六进制则-encoding 1
中间会有提示输入，输入2即可。

接着就是漫长的等待。。运行完毕会得到flag2：

flag3&flag4待补充