漏洞链攻击实战：LFI+任意文件上传实现远程代码执行

在完成OSCP认证后，我决定尝试漏洞赏金计划，因为OSCP培训提升了我的漏洞利用技能。本文将使用lol.com代指实际应用，由于保密要求无法披露真实网站名称。

在枚举应用时，我发现了一个图片服务器域名，该服务器负责管理用户上传的图片。进一步枚举后，我找到了一个端点，允许调用服务器本地文件，包括passwd、cron作业和当前运行的服务。

由于这是图片服务器，意味着服务器存储了用户从个人资料上传的所有图片。我返回lol.com开始寻找图片上传功能，发现个人资料照片选项允许上传图片到应用，这些图片最终存储在图片服务器上。

图片上传功能包含ext参数用于文件扩展名检查，但由于参数验证不当，我能够篡改值并在服务器上无限制上传文件。尝试上传PHP shell时发现图片服务器不解析PHP，但通过LFI进一步侦察发现可通过Perl获取shell。于是上传了Perl反向shell文件。

利用LFI调用该文件后，成功在我的公网IP上获得了反向shell。

感谢阅读，希望本文对您有所启发。