1.点flag显示了ip，可能和X-Forwarded-For有关系，再点上面的hint，提示

2.抓个包看看，加个X-Forwarded-For，可能有模板注入

3.ip改成，返回了49，语句被执行了，确实存在Smarty模板引擎注入（https://blog.csdn.net/qq_45521281/article/details/107556915）

4.注入语句

直接X-Forwarded-For:{{system('cat /flag')}} 得到flag