看到题目名字还以为是sql注入
打开是这样的

我以为题目坏了，重开了几次环境还是这样，看了别人的write-up才知道原题就是这样的

dirsearch扫目录

应该是扫描过快导致429 Too Many Requests

查询知dirsearch -s 能够设置请求之间的延迟，再次扫描

发现/phpmyadmin/目录
访问一下

我还去看了下数据库，发现没有权限访问

于是查看当前的phpmyadmin版本找找有什么漏洞

版本是4.8.1，发现有个任意文件包含漏洞

payload/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../flag
得到flag