打开题目,看到题目
注意最下面的Build With Smarty! , 猜测是smarty模板注入。smart是php的模板引擎,模板引擎的作用就是分离前端页面和数据的,题目中显示API的URL由于环境的原因无法使用,但我们的IP依旧显示在了页面的右上角,且根据它的提示XFF我们很容易想到,在X-Forwarded-For里构造ssti:payload。
开始用bp抓包,然后插入X-Forwarded-For:{$smarty.version}来看一下版本。
smarty模板注入,插入X-Forwarded-For:{if readfile('/flag')}{/if}
flag,forwoad回显,查看源码,搜索flag,得到flag。
flag="flag{93f12e3a-bef6-42ad-9eb2-8e7458488961}