0、打开网页,发现需要输入用户名和密码
用户名使用admin
密码可以爆破得到,也可以查看注释
将dGVzdDEyMw==进行base64解码得到密码:test123
1、输入用户名和密码
无法登录,提示只有本地管理员可以访问,由此考虑到使用xff方法修改IP为本地地址
2、使用BurpSuite抓包
3、添加:X-Forwarded-For: 127.0.0.1后发送
4、得到flag:flag{9876894a5ec96ef77b6d54ba5cd983bf}(动态flag)