进入环境后是一个输入框，可以提交名字

 然后就可以点击获取flag，结果回显提示，需要获取管理员

 可以尝试将名字改为admin

 触发报错，说明可能存在其他的验证是否为管理员的方式

 通过抓包后，在cookie字段发现了 特殊的东西，前面翻译过来跟题目没有太大关系，所以最后就看session字段，看着不像是base64，burp解码也不行

 最后查看wp，结果发现还是base64，不过有些字符是乱码，所以一般的工具解密不出来

解码后确实有不可见字符，而且是json字符串

 根据题目提示，和本题环境为flask，得知本题考察session伪造

 

但是没有secret_key，有点离谱的是，看了几个wp都说直接盲猜是比赛名称 LitCTF 

 拿到flag