サイトにアクセスすると、 パスワードファイルの password.php と、URLを入力するとHTTPのリクエストヘッダとレスポンスヘッダを表示してくれる webchecker.php というサイトのURLがあります。

パスワードファイルはみれませんでした。webcheckerのホスト名にmnctf.info、レスポンスヘッダに/mnctf2019/task/admin/password.phpを入れてアクセスしてみました。

見えません。問題にローカルからのみ見えると書いてあるので、ホスト名をローカルにしてみます。

まだ見えません。なにやら%0D%0Aという改行コードをつけると更に続きを表示してくれるみたいです。

パスワード見えちゃいました。パスワードファイルはWebサーバーには置いてはいけないということが身をもって分かる問題ですね。