[GWCTF 2019]我有一个数据库

[GWCTF 2019]我有一个数据库
题目:
打开环境,得到;
[GWCTF 2019]我有一个数据库_第1张图片
题目说的是我有一个数据库,那么肯定是有后台的,所以直接用dirsearch去扫一下,发现:
[GWCTF 2019]我有一个数据库_第2张图片
[GWCTF 2019]我有一个数据库_第3张图片
先去robots.txt里看一下:
得到:
[GWCTF 2019]我有一个数据库_第4张图片
接着去phpmyadmin看一眼:
[GWCTF 2019]我有一个数据库_第5张图片

发现phpmyadmin的版本为4.8.1,去网上搜一下这个版本的phpmyadmin,可以知道这个版本的phpmyadmin出现过一个CVE漏洞:
这里由于我本人没有复现过,就没有讲自己的理解了,直接放两个链接在这里:
phpmyadmin(1)
phpmyadmin(2)
主要是第二个链接,直接用里面的payload进行了:

phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../flag

成功拿到flag:
[GWCTF 2019]我有一个数据库_第6张图片
以后找个机会好好去复现一下这个CVE漏洞

你可能感兴趣的:(#,buuoj,数据库,php,phpmyadmin,web)