00x1 第一题：

题目：页面的背后是什么？

看源码

直接访问http://xxxx/api/admin即可

00x2 第二题：

题目：真正的秘密只有特殊的设备才能看到

需要更改User-Agent为bilibili Security Browser

00x3 第三题

题目：密码是啥？

弱口令

00x4 第四题

题目：对不起，权限不足～

首先查看源码


将role值解密为 user
对role值进行**

00x5 第五题

题目：别人的秘密

查看源码

遍历uid值

00x8 第八题

00x10 第十题

第十题的答案就是第六题做出来的flag

查看源码没有可利用的东西

进行目录扫描，扫描出http://xxxx/blog/test.php

JS Fuck解密

Github搜索

但是这个不对

应该是这一个

根据代码提示构造url,并根据前面的路径猜测。后面发现只要有flag.txt就行

看着这是第十题的flag

6、7、9目前还没做出来，只能等大佬公布了