漏洞链式利用攻陷组织（LFI + 无限制文件上传 = 远程代码执行）

大家好！在完成OSCP认证后，我决定尝试漏洞赏金计划，因为OSCP培训大大提升了我的漏洞利用技能。

本文将使用lol.com代表实际应用，因无法公开真实网站名称。

在枚举某个应用时，我发现了一个域名为图片服务器的子系统，专门管理用户上传的图片。进一步枚举后，我发现了一个端点允许调用服务器本地文件，包括passwd文件、cron任务和当前运行的服务。

由于这是图片服务器，意味着服务器存储了用户从个人资料上传的所有图片。我返回lol.com开始寻找图片上传功能，最终在个人资料照片选项发现了上传入口，该功能将图片存储至图片服务器。

图片上传功能存在ext参数用于文件扩展名检查，但由于参数验证不完善，我可以篡改参数值并在服务器上无限制上传文件。我尝试上传PHP webshell，但由于是图片服务器，无法解析PHP文件。通过LFI进一步侦察，我发现可以通过Perl获取shell，于是上传了Perl反向shell文件到我的公网IP。

利用LFI功能调用该文件后，成功在我的公网IP上获得了反向shell。

感谢阅读，希望大家喜欢这篇分享。