不能忘记带来一切的基础 同样的一道XXF有关的题目, 第一个界面如下,题目提示 the mysrery of ip 左上角的菜单有三个选项: flag: 真就显示了我电脑主机的ip地址 hint: 提示,为什么会知道我的ip地址,联想到x-forwarded-for,抓包: 对XFF的更改,会影响在前端界面,果然他就是读取了XXF; 查看答案,明白这是用到SSTI,完全不明白: 但答案就是如此; 在XXF构造:{{ls}} 利用典型的SSTI渲染模块漏洞,使其输出了菜单内容,那输入cat /flag,后来发现要加上system(""),可能跟其语法有关: