CarelessPy一进来就是个任意文件下载功能，不过做了些限制，这题从头到尾都在骂杂鱼。。。(虽然我确实是(bushi)查看页面源代码，给了个/eval/login两个路由，/eval是个目录遍历，/login尝试登录无果，有session，应该需要伪造session，利用/eval查看app下的pyc文件，然后down下载在线找个pyc反编译，成功拿到密钥直接flask-session-manager伪造session，登录成功后拿到/th1s_1s_The_L4st_one这个路由，访问查看，xml的页面，猜想存在xxe漏洞，抓个包分析分析，直接payload打，注意得加个Content