先注册，然后登录了，提示admin账号才给flag：

查看源码发现action.php?callback=getInfo 这个页面存在当前用户的csrftoken

御剑扫到了可疑的东西：

访问test.php得到E5xqqsvHoznsjlfDm5ryLg==
访问action.php?callback=getInfo，抓包把username改为E5xqqsvHoznsjlfDm5ryLg%3D%3D

getInfo({'username':'admin','website':'http://127.0.0.1','csrftoken':'bd498025476fae642c66017b46619700','errorMessage':null})

在登陆后的GetFlag按钮处抓包，修改username和csrftoken，得到flag啦。