打开页面说要留一个回复 应该是xss了

去xss平台找个了个代码 打过去 收到cookie

等cookie的时候猜页面 发现了 login.php 和admin.php

直接访问private.php 发现被禁止（天真..）

带上参数或者cookie也是一样的效果

尝试admin.php 带上 cookie : PHPSESSID=515386866780b5f132fc96c02b3ddb82 得到

32位的 70819eb77d45f2740b54493213e9eace 以为是cookie 于是带上去访问private.php

然后各种尝试… 都不行 最后想想这尼玛不会是flag吧 = =

然后… 右上角绿色的correct flag Orz 说好的flag格式呢