什么是笑脸漏洞？

VSFTP？

VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件，它的全称是Very Secure FTP 从此名称可以看出来，编制者的初衷是代码的安全。

1、它是一个安全、高速、稳定的FTP服务器；
2、它可以做基于多个IP的虚拟FTP主机服务器；
3、匿名服务设置十分方便；
4、匿名FTP的根目录不需要任何特殊的目录结构，或系统程序或其它的系统文件；
5、不执行任何外部程序，从而减少了安全隐患；
6、支持虚拟用户，并且每个虚拟用户可以具有独立的属性配置；
7、可以设置从inetd中启动，或者独立的FTP服务器两种运行方式；
8、支持两种认证方式（PAP或xinetd/ tcp_wrappers）；
9、支持带宽限制；
VSFTP市场应用十分广范，很多国际性的大公司和自由开源组织在使用，如：Red Hat, Suse，Debian，OpenBSD。

后门函数

在vsftp的实现代码中存在一个后门函数，即如果服务器的登录账号包含：）这两个符号，就会打开服务器的6200端口。
使用nc即可进行连接这个端口，取得管理员权限。

ps:nc即为netcat,也被成为“瑞士军刀”。在各大Linux发行版中都默认安装。https://zhuanlan.zhihu.com/p/83959309

漏洞利于的复现

网络构建

使用kali与M2进行网络的构建

1、kali作为攻击方，M2作为被攻击方。
2、M2指的是Metasploitable2靶机，是一个特别制作的ubuntu操作系统，本身设计目的是作为安全工具测试和演示常见漏洞攻击的环境。其中最重要的是可以用来作为MSF攻击用的靶机。开放了很多的高危端口如21、23、445等，而且具有很多未打补丁的高危漏洞，如Samba MS-RPC Shell命令注入漏洞等，而且对外开放了很多服务，并且数据库允许外联等。系统中的用户口令均为弱口令。系统搭载了DVWA、Mutillidae等Web漏洞演练平台。
3、kali与M2的网络都设置为NAT模式。（相当于二者在同一个子网，可以直接进行连接）