HGAME 2021 Writeup

Web part:
Watermelon:
看了整个网页的js文件，游戏规则大概写在project.js里面，看了接近半个小时的代码，发现了一个地方的base64加密后的内容有点怪

翻译出来就是flag

Hitchhiking_in_the_Galaxy
先抓包，要抓到HitchhikerGuide.php的包才行，直接访问会重回index.php

然后显示405 method Not Allowed，那么也就是方法不对
对请求头修改，GET改POST试试

User-Agent会告诉网站服务器,访问者是通过什么工具来请求的，所以这里提示我们要用这个玩意儿来请求
于是在user-agent后面再加

又提示要从https://cardinal.ink/访问，也就是修改Referer

又提示仅能从本地访问
这里要用到X-Fowarded-For
X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1（RFC 2616）协议并没有对它的定义，它最开始是由 Squid 这个缓存代理软件引入，用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准，被各大 HTTP 代理、负载均衡等转发服务广泛使用，并被写入 RFC 7239（Forwarded HTTP Extension）标准之中。
于是我们在请求头最下端加一行

IP用我们自己的

Misc part
Base全家福
拿到密文先base64解密再base32解密得到一串数字+大写字母，疑似十六进制，于是对照ASCII表查，一个一个对就能得到flag
hgame{We1c0me_t0_HG4M3_2021}