摘要： 华为杯 × 签到杯√ 论比赛过程来说没什么很大收获 但看师傅们的wp感触很多 赛后复现慢慢学吧 Web babyflask flask ssti模板注入： payload{{key}}发现**[]以及类似os，__import**__等敏感关键词都被过滤。 用__getitem__(2)来表示[nu 阅读全文