1.原理

proftp是用于搭建基于ftp协议的应用软件
ProFTPD是ProFTPD团队的一套开源的FTP服务器软件。该软件具有可配置性强、安全、稳定等特点。  
ProFTPD 1.3.5中的mod_copy模块允许远程攻击者通过站点cpfr和site cpto命令读取和写入任意文件。任何未经身份验证的客户端都可以利用这些命令将文件从文件系统的任何部分复制到选定的目标。 复制命令使用ProFTPD服务的权限执行，默认情况下，该服务在“nobody”用户的权限下运行。 通过使用/ proc / self / cmdline将PHP有效负载复制到网站目录，可以实现PHP远程代码执行。
解释来源于vulfocus镜像信息

2.复现

21端口用来执行exp，80端口用于访问我们上传的后门
exp地址：https://github.com/t0kx/exploit-CVE-2015-3306
执行：python.exe exploit.py --host 目标ip --port 21端口映射端口 --path "/var/www/html/"

访问到80端口的backdoor.php页面是这样的就成功上传了

查看exp的py文件可以看到php内部的变量是用get传输cmd的值实现的，我们执行命令env查看flag