靶场地址
右键查看源代码
<html>
<head>
<title>Welcome to PwnTheBox</title>
<meta charset="utf-8">
</head>
<body>
<h3 align="center">欢迎来到PwnTheBox大学</h3>
<p>PwnTheBox大学(PwnTheBox University)简称PTB,建校于5YWs5YWDMjAyMeW5tA==年,
网站是http://%77%77%77%2E%70%77%6E%74%68%65%62%6F%78%2E%63%6F%6D/<!-- 听说注释里面东西外面看不到?flag好像在header里面 --></p>
<br/>
</body>
</html>
发现注释里说明
header存在于请求包或者响应包头部字段里面
打开f12,选择network,然后刷新
查看响应包里面出现了flag