Ye的博客

模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的html代码，模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，然后放到渲染函数里，然后生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。SSTI 漏洞是一种常见的 Web 安全漏洞，它允许攻击者在服务器端模板引擎中注入恶意代码，导致服务器执行攻击者控制的代码，可能导致信息泄露、服务器被接管等安全问题。，那么页面上就会显示。

题目描述 打开题目发现提示可以使用client-ip头，并在192.168范围内。 打开BurpSuite进行抓包，添加client-ip头，在返回包内容里就 有flag了