[CISCN2019 华东南赛区]Web11 1 首先打开题目发现: 提示XFF,且发现右上角的127.0.0.1是我做的X-Forwaded-For的代理 所以对X-Forwaded-For进行各种注入尝试发现是php的ssti的注入: 所以执行命令获取flag: