本文通过一道CTF题目详细讲解了SSTI(服务器端模板注入)漏洞的利用过程。题目包含SSRF(服务器端请求伪造)入口和SSTI漏洞点，利用链为：通过SSRF访问内部服务，利用Gopher协议构造POST请求触发SSTI，最终读取环境变量获取flag。文章详细解析了题目源码结构、漏洞原理、利用方法，并提供了两种payload实现方案：一种是自动化EXP脚本，另一种是手动构造的Gopher请求。重点讲

Wait，学习大佬的wp发现可能是一个弱密钥(正好学到利用jwtcracker工具，可以去csdn上看看，很简单，一学就会，不过爆破的时间有点长，最好问问GPT格式是啥，能省好多时间)就做出来这么多题，这几天也参加了几个出色的CTF战队的面试，在AGENT时代，想要担任一名合格的WEB手 还是要有比较坚实的基础，让自己变得更强和让AGENT更强并不冲突，加油。我们可以把 JWT 想象成一张“电子通