为了保持手感，半夜打完游戏来挑个题做做😀,还是学到东西了。

鉴权有密钥，那说明不是这里的问题，从路由一路追踪，显然这里是我们的突破口，这里的db.migrate是将数据库恢复初始化，显然是不能让其进行到这一步的。

查阅一下文档，发现确实可以阻止初始化发生。

AuthMiddleware是jwt鉴权，这里的review对访问者的ip有校验，我们查阅一下资料看看express的req.ip是否可以伪造。

显然GG，仔细看一波路由。

我们观察到这个很有趣，他并没有鉴权，其次他是sendFile头像文件，而不是以图片的形式直接进行渲染，这里可能也是一个突破口，然后去看看机器人去review后会发生什么。

review里的参数其实都是我们可控的，但是只有content这里多了个safe,那么我们查阅一下文档。

link: https://nunjucks.bootcss.com/templating.html

隐隐的感觉脑子要长出来了，于是结合起来思考，应该是个xss的利用，重点就在于如何review里xss拿到cookie。