[BJDCTF2020]The mystery of ip

[BJDCTF2020]The mystery of ip
题目：
打开环境，得到：

左上角有个Flag与Hint，点点Flag试试：

可以看到直接记录了我的IP，出现IP都会想到一个东西：

X-Forwarded-For

试试修改下X-Forwarded-For：

可以看到修改X-Forwarded-For成功了，说明这里应该就是个注入点
我第一反应想到的是XFF注入，但经过多次尝试，发现无论如何都是百分百回显：

所以我就把XFF注入给排除了，想了一会儿，猜测这样回显的方式，就想到了SSTI模板注入：
试试构造{ {2*2}}，发现确实计算出了结果：

所以这里应该是一个smarty模板注入，继续构造：

{
     if var_dump(scandir('./'))}{
     /if}

得到：

确实可以得出结果，所以继续构造得出flag：

{
     if show_source('/flag')}{
     /if}