Nmap NSE Category vulns Script：http-vuln-cve2006-3392 利用 Webmin 中的文件洩露漏洞（CVE-2006-3392）

• 指令類型：portrule

• 類別：exploit, vuln, intrusive

• 下載：https://svn.nmap.org/nmap/scripts/http-vuln-cve2006-3392.nse

Nmap Script指令摘要

利用 Webmin 中的文件洩露漏洞（CVE-2006-3392）

Webmin 1.290 以前和 Usermin 1.220 以前的版本中，在解碼 HTML 之前會呼叫簡化路徑函數，這允許使用“..％01”序列繞過刪除“../”目錄探索 (traversal) 序列的要求，因此可以讀取任意文件，而無需身份驗證。

Nmap Script指令參數

http-vuln-cve2006-3392.file

此個參數用於設定指令在檢查 Webmin 中的 CVE-2006-3392 漏洞時，將嘗試檢索的檔案；預設情況下，它設定為 /etc/passwd，這是一個常見的檔案，用作此類漏洞測試的目標；如果存在漏洞，指令將嘗試在沒有適當身份驗證的情況下存取並檢索此檔案的內容。

slaxml.debug

此參數可設定指令在檢查 Webmin 中的 CVE-2006-3392 漏洞時，將嘗試檢索的檔案；預設情況下，它設定為 /etc/passwd，這是一個常見的檔案，做為此類漏洞測試的目標；如果存在漏洞，指令將嘗試在沒有適當身份驗證的情況下存取並檢索此檔案的內容。

http.host, http.max-body-size, http.max-cache-size, http.max-pipeline, http.pipeline, http.truncated-ok, http.useragent

這些參數可根據您的需求進行設定，以便更好地控制和自定義 Nmap 的 HTTP 請求；詳細資訊和範例用法可以在 Nmap http 函式庫中找到。

• http.host：用於指定要存取的主機名稱或 IP 位址。

• http.max-body-size：設定 HTTP 回應主體的最大大小，以位元（bytes）為單位；如果超過此大小，可能會被截斷。

• http.max-cache-size：設定 HTTP 回應暫存的最大大小，以位元（bytes）為單位；這控制了 Nmap 將保留的回應數量。

• http.max-pipeline：設定可以同時保持的 HTTP 通道數量；通道允許同時發送多個請求，以提高效率。

• http.pipeline：設定是否啟用 HTTP 通道；啟用後，Nmap 將嘗試使用通道請求。

• http.truncated-ok：用於設定是否允許接收截斷的 HTTP 回應；當設定為 "allow" 時，Nmap 將接受部分回應。

• http.useragent：用於指定 HTTP 請求的 User-Agent 表頭，使用者代理字串，以模擬特定使用者代理的存取。

smbdomain, smbhash, smbnoguest, smbpassword, smbtype, smbusername

這些參數用於控制 Nmap 在測試 SMB（Server Message Block）協定時的設定，控制身份驗證和存取權限；詳細資訊和範例用法可以在 Nmap smbauth 函式庫找到。

• smbdomain（SMB網域名稱）： 這個參數允許您指定要在SMB測試中使用的網域名稱（Domain）；網域名稱通常用於在SMB網路中識別和區分不同的安全區域或工作群組。

• smbhash（SMB哈希）： 用於指定SMB密碼哈希值 (Hash Value) 的參數；當您不想明文傳遞密碼時，可以使用哈希值進行身份驗證。

• smbnoguest（不使用SMB的 guest 帳號）： 如果設定為true，這個參數表示Nmap不應該使用SMB的 guest 帳號；guest 帳號通常是一個匿名帳號，但在某些情況下，您可能不希望使用它。

• smbpassword（SMB密碼）： 用於指定SMB測試中使用的密碼，這是用於身份驗證的密碼。

• smbtype（SMB類型）： 允許您指定SMB協定的類型；不同版本的SMB協定可能有不同的特性和漏洞，這個參數可用於測試不同版本的SMB。

• smbusername（SMB使用者名稱）：這是用於SMB測試的使用者名稱；通常您需要提供有效的使用者名稱來進行身份驗證。

vulns.short, vulns.showall

這些參數可根據您的需求來調整，如果您想要更簡潔的漏洞資訊摘要，您可以將vulns.short設定為true；如果您需要更詳細的漏洞資訊以進行深入分析，則可以將vulns.showall設定為true；根據您的需求和報告的目的，您可以靈活使用這兩個參數，請參閱 vulns 函式庫。

• vulns.short（漏洞簡短資訊）： 這個參數控制Nmap在掃描過程中是否顯示簡短的漏洞資訊；如果設定為true，Nmap將僅顯示簡短的漏洞資訊，通常包括漏洞的名稱、CVE編號（通用漏洞和攻擊），以及可能的危害等級；這有助於在掃描報告中提供簡要的漏洞概述。

• vulns.showall（顯示所有漏洞資訊）： 如果將此參數設定為true，Nmap將顯示更詳細的漏洞資訊，包括漏洞的描述、參考資源、威脅等級和更多細節；這對於深入了解目標系統上的漏洞非常有用，但可能會產生較長的報告。

Nmap Script指令範例

nmap -sV --script http-vuln-cve2006-3392 <target>

nmap -p80 --script http-vuln-cve2006-3392 --script-args http-vuln-cve2006-3392.file=/etc/shadow <target>

Nmap Script指令輸出

PORT   STATE SERVICE REASON

10000/tcp open  webmin    syn-ack

| http-vuln-cve2006-3392:

|   VULNERABLE:

|   Webmin File Disclosure

|     State: VULNERABLE (Exploitable)

|     IDs:  CVE:CVE-2006-3392

|     Description:

|       Webmin before 1.290 and Usermin before 1.220 calls the simplify_path function before decoding HTML.

|       This allows arbitrary files to be read, without requiring authentication, using "..%01" sequences

|       to bypass the removal of "../" directory traversal sequences.

|     Disclosure date: 2006

|     Extra information:

|       Proof of Concept:/unauthenticated/..%01/..%01/(..)/etc/passwd

|     References:

|       http://www.rapid7.com/db/modules/auxiliary/admin/webmin/file_disclosure

|_      http://www.exploit-db.com/exploits/1997/

Nmap Script作者:

Paul AMAR

License: Same as Nmap--See https://nmap.org/book/man-legal.html

延伸閱讀

• 網路概念

• 技術文章

• 經驗分享

• 軟體介紹

• Nmap