Web part:
Watermelon:
看了整个网页的js文件,游戏规则大概写在project.js里面,看了接近半个小时的代码,发现了一个地方的base64加密后的内容有点怪
翻译出来就是flag
Hitchhiking_in_the_Galaxy
先抓包,要抓到HitchhikerGuide.php的包才行,直接访问会重回index.php
然后显示405 method Not Allowed,那么也就是方法不对
对请求头修改,GET改POST试试
User-Agent会告诉网站服务器,访问者是通过什么工具来请求的,所以这里提示我们要用这个玩意儿来请求
于是在user-agent后面再加
又提示要从https://cardinal.ink/访问,也就是修改Referer
又提示仅能从本地访问
这里要用到X-Fowarded-For
X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。
于是我们在请求头最下端加一行
IP用我们自己的
Misc part
Base全家福
拿到密文先base64解密再base32解密得到一串数字+大写字母,疑似十六进制,于是对照ASCII表查,一个一个对就能得到flag
hgame{We1c0me_t0_HG4M3_2021}