漏洞链式攻击：LFI+无限制文件上传实现远程代码执行

在完成OSCP认证后，我决定尝试漏洞赏金计划，因为OSCP培训提升了我的漏洞利用技能。本文将使用lol.com作为示例应用名称，无法透露实际网站信息。

在枚举应用时，我发现了一个管理用户上传图片的图像服务器域名。进一步枚举后，发现一个端点允许调用服务器本地文件，包括passwd文件、cron任务和当前运行服务。

由于这是图像服务器，意味着服务器存储了用户从个人资料上传的所有图片。

我返回lol.com应用，寻找图片上传功能，最终在个人资料照片选项中发现了上传功能，这些照片会被存储到图像服务器。

图片上传功能包含ext参数用于文件扩展名检查，但由于参数验证不严格，我可以篡改值并在服务器上无限制上传文件。尝试上传PHP shell时发现图像服务器不解析PHP，但通过LFI进一步侦察发现可以通过Perl获取shell，于是上传了Perl反向shell文件。

利用LFI功能调用该文件后，成功在我的公网IP上获得了反向shell连接。

感谢阅读，希望本文对您有所启发。