题目中有用$9990000购买flag的界面,且猜中7个数字得到$5000000,猜想应该是通过改包来使得系统判断中奖,最后购买flag
1-查看robots.txt  (万事先看robots)
2- 肯定是git泄漏了,GitHack下来

3-查看代码,其中api.i.php文件中有一个判断是否中奖的函数,这里没有对参数进行严格的比较,如果进行比较的是true同样判断为真

4-bp改包,多发送几次
5-购买flag即可