漏洞链攻击：LFI + 任意文件上传 = 远程代码执行

在完成OSCP认证后，我决定尝试漏洞赏金计划，因为OSCP已经提升了我的漏洞利用技能。

我将使用lol.com来代表一个应用程序，因为不能透露实际网站名称。

在枚举应用程序时，我获得了一个域，该域基本上是一个图片服务器，用于管理用户上传的图片。在进一步枚举时，我获得了一个端点，该端点允许我调用服务器本地文件，如passwd、cron作业和服务器上当前运行的服务。

由于这是一个图片服务器，意味着服务器存储了用户从其个人资料上传的所有图片。

我再次回到lol.com，开始寻找图片上传功能，看看从哪里可以上传图片。我找到了个人资料图片选项，该选项允许我将图片上传到应用程序，而这些图片被存储到图片服务器。

图片上传功能有一个ext参数，用于文件扩展名检查，但由于对参数的不当验证，我能够篡改值并在服务器上无限制地上传文件。我尝试上传PHP shell，但由于是图片服务器，它不提供PHP服务。但通过LFI进一步侦察，我了解到可以通过Perl获取shell，因此我上传了一个Perl反向shell，以在我的公共IP上获取反向shell。

通过使用LFI，我调用了该文件，并在我的公共IP上获得了反向shell。

感谢阅读，希望你们喜欢这篇文章。