漏洞链攻击：LFI+文件上传漏洞实现远程代码执行

在完成OSCP认证后，我决定尝试漏洞赏金计划，因为OSCP训练提升了我的漏洞利用技能。

我将使用lol.com代表实际应用，因为不能透露真实网站名称。

在枚举应用程序时，我发现了一个域，这基本上是一个图片服务器，负责管理用户上传的图片。进一步枚举后，我找到了一个端点，该端点允许我调用服务器本地文件，如passwd、cron作业和服务器当前运行的服务。

由于这是一个图片服务器，意味着服务器存储了用户从其个人资料上传的所有图片。

我再次回到lol.com，开始寻找图片上传功能，最终找到了个人资料图片选项，该选项允许我将图片上传到应用程序，这些图片随后会存储到图片服务器。

图片上传功能有一个ext参数，用于文件扩展名检查，但由于对该参数的验证不严格，我能够篡改值并在服务器上无限制地上传文件。我尝试上传PHP shell，但由于是图片服务器，它不会执行PHP文件。通过LFI进一步侦察，我了解到可以通过Perl获取shell，因此我上传了一个Perl反向shell以在我的公共IP上获取反向shell。

利用LFI功能调用该文件后，我在我的公共IP上成功获得了反向shell。

感谢阅读，希望大家喜欢这篇文章。