Bugku 管理员系统

打开网页，提示输入用户名和密码登陆，有点像是 SQL 注入的题，当随意输入一个值提交之后，又有如下提示
IP禁止访问，请联系本地管理员登陆，IP已被记录.
查看源码没有发现任何线索，然而打开浏览器的控制台反而发现了一点东西

image.png
将注释中的字符串进行解密，得到的结果是 test123，再联系页面上的联系本地管理员登陆，IP已被记录。本地管理员？IP？想到了IP地址伪造。
于是就伪造一个本地IP登陆，对提交的数据抓包，添加一个X-Forwarded-For请求头，值为127.0.0.1
于是乎就得到了flag。。。。。。。。。。
image.png