拿到题目进去,首页如下
我们如果以admin账号登录,会弹框提示我们不是admin
然后我们随意登录看看什么情况,结果可以登录进去,如下图
查看源码没有看到什么有价值的信息,我们重新登录抓包看看
发现了这个提示,我们进入这个页面看看
进去以后发现如下文字,提示我们99年才能进去
抓包分析
发现包里有一个time的参数,猜测可能跟时间有关,加上作者的提示,我们将time改成一个很大的数
发现提示发生变化,说只有本机才能进去,我们先用修改X-Forwarded-For尝试一下
发现修改XFF不管用,想必作者已经过滤这点,那么我们尝试用Client-ip来进行登录
成功,发现提示发生变化,需要我们是来自gem-love.com的,那么我们修改referer头来进行匹配
提示发生变化,要求我们浏览器必须是Commodore 64,修改user-agent
提示发生变化,要求我们的邮箱是来自root@gem-love.com,那么我们修改From
提示又一次发生改变,要求我们是通过某个特定代理才能访问
修改代理后成功读取,得到一串base64加密的字符串,进行base64解密,得到如下结果
拿到flag
主要就是考察http协议,需要充分了解http协议的内容,不过本题作者给了很多的提示,难度降低了很多
原文:https://www.cnblogs.com/Jleixin/p/13321475.html