[BJDCTF2020]The mystery of ip 大佬的wp说是SSTI漏洞(Server-Side Template Injection),具体内容在这里 在hint.php中的源码发现了注释,ip来自于XFF头 那就比较明显了,伪造XFF头进行SSTI