Задача:
Найдите ключ.

Решение:
В исходном коде страницы сразу бросается в глаза

 <!-- secret: ructf -->

.
Посмотрев названия cookie’s и немного погуглив можно сделать вывод о том, что использован perl-фреймворк Mojolicious.
Почитав его документацию, была найдена интересная вещь, а именно – в нем использовались Signed cookies в качестве сессий (подробней). Получается, если подменить сессию на сессию пользователя admin (в ней хранится username) и подписать её (секрет ведь нам дали в исх. коде страницы). Что мы и делаем.

h = hmac.new("ructf", "eyJuYW1lIjoiYWRtaW4iLCJleHBpcmVzIjoxMzk0NDI4MjUzfQ--", digestmod=hashlib.sha1)

Заходим в список ссылок и видим там ‘/very/super/secret/flag’. Переходим по адресу и получаем флаг