xctf-cat

随手输一个，发现url有变化 参数传过去之后不知道发生了什么，试一下127.0.0.1 发现执行了ping命令，尝试命令执行 存在过滤，又试了几个，发现@没被过滤，接着尝试宽字符 复制html打开 可以看到路径，用的是django框架，下面尝试读取该框架下的默认settings.py 查到配置信息， ......