通關地址

題目開啟後顯示 Login Burte Force,想著是爆破，隨便拿了個字典跑了跑沒結果，掃了下有個弱口令test:test。

顯示key在admin介面，御劍掃了下後臺admin也沒結果，不過發現了robots.txt（御劍字典要把這個加進去，很常見）。

User-agent: *
Disallow: /myadminroot/

必須要admin登入才能開啟，可是前邊admin密碼怎麼也搞不出來，現在也就是要欺騙頁面現在登陸的使用者是admin就行。

兩種方法可行：

直接burp發包，用admin登陸post一次，然後直接路徑修改為/myadminroot再post一次就OK。

其實同理直接瀏覽器，登入顯示error後不管：

Chrome直接保持這個會話了，有些瀏覽器可能會又自動跳轉了，但是中間會閃現下這個頁面，抓包同樣可以看到。

後來看到有用程式碼實現的，其實就是後臺對登陸狀態沒有驗證，僅僅驗證了登陸使用者的許可權，保持登陸的Session會話，然後去訪問後臺地址就OK。