首先打开来是一个登陆的页面:

看看源码有没有什么提示:

可以看到最后面注释了两个test1

我们拿test1登陆进去试试:

登陆成功。
左右看看没有什么发现。
打开burpsuite抓包试试:

可以看到响应包有show这个参数,并且等于0
我们将show这个参数等于1发送试试:

发送之后果然出现了一段代码:

这段代码的大概意思是:

当$login['user']='ichunqiu'的时候,echo flag
但是login只能从token中获得,并且被几个函数加密了,
我们只需要照着过程逆回去即可
payload:
$arr = array('user'=>'ichunqiu');
$hello = base64_encode(gzcompress(serialize('$arr')));
echo $hello;

直接解析之后echo的值就是我们需要的token值,
这里解密之后是这个:

eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA==

token放到cookie里发送即可得到flag: