大佬的wp说是SSTI漏洞(Server-Side Template Injection),具体内容在这里
在hint.php中的源码发现了注释,ip来自于XFF头
那就比较明显了,伪造XFF头进行SSTI
