qq_42383069的博客

ip进制转换：https://tool.520101.com/wangluo/jinzhizhuanhuan。当程序中限制了我们使用localhost和127.0.0.1时，便可以利用进制转换来绕过。进制转换：https://www.sojson.com/hexconvert.html。

在 linux 下表示分隔符，只有cat$IFSa.txt 的时候, bash 解释器会把整个 IFSa当做变量名，所以导致没有办法运行，然而如果加一个 {} 就固定了变量名，同理在后面加个 $ 可以起到截断的作用，而 $9 指的是当前系统shell 进程的第九个参数的持有者，就是一个空字符串，因此 $9 相当于没有加东西，等于做了一个前后隔离。]有一个重要的区别，当匹配的文件不存在，[…通过测试，可见程序过滤了截断符，根据以上的知识，我们来fuzz一下可用的截断符。根据burp爆破，发现可以通过。