指令摘要
在2013年12月6日,由rubina119發佈了一個0天漏洞,並在Zimbra 7.2.6中進行了修補;這個漏洞是一個包含漏洞的本地檔案,允許攻擊者從伺服器上擷取任何檔案;目前,攻擊者正在嘗試讀取兩個特定檔案,即 "/etc/passwd" 和 "/dev/null",為了確定伺服器是否存在這個漏洞,攻擊者通常會比較這兩個檔案的長度,如果攻擊成功,它們可以取得這些檔案的內容,可能包含使用者帳號訊息或其他敏感資料。
待辦事項:在這個情境中,攻擊者希望進一步擴大他們能夠利用的攻擊面;首先,他們計劃增加讀取壓縮檔案的能力,表示他們不僅可以讀取常規檔案,還可以嘗試解壓縮的檔案,以查看其中包含的內容;此外,攻擊者還計劃發送一些有效負載以建立新的郵件帳戶,是為了建立後門帳號、或進一步擴大他們對受感染伺服器的控制權,通常,攻擊者會利用漏洞建立帳號,以便他們可以在受感染的系統上執行其他操作,包括更廣泛的攻擊或資料竊取。
指令參數
http-vuln-cve2013-7091.uriURI(Uniform Resource Identifier)是用於指定資源在網際網路位置的統一識別符號;預設情況下,http-vuln-cve2013-7091.uri 設定為 /zimbra,這表示工具將嘗試測試位於網站根目錄下的 zimbra 子目錄或網頁;攻擊者可能將漏洞利用的鏡像放在這個位置,並試圖透過存取該位置來檢查伺服器是否容易受到 CVE-2013-7091 漏洞的攻擊;根據測試結果,攻擊者可以確定伺服器是否容易受到這個特定漏洞的攻擊。
slaxml.debug是用於設定是否要啟用 slaxml 函式庫的偵錯模式,當偵錯模式啟用時,slaxml 函式庫會生成額外的偵錯訊息,以協助您除錯 XML 處理的代碼;偵錯模式通常用於開發或除錯 XML 處理程序,它可以幫助您追蹤 XML 資料的處理流程,檢查是否有任何錯誤或問題,這對於確保應用程式能夠正確處理各種不同的 XML 資料是非常有用的;如果您需要詳細的資訊或使用方法,建議參考 slaxml 函式庫。
http.host, http.max-body-size, http.max-cache-size, http.max-pipeline, http.pipeline, http.truncated-ok, http.useragent這些參數可以根據需求調整,以達到更好的 HTTP 請求和回應控制,詳細的用法和設定方式可以參考 http 函式庫。
http.host: 用於指定 HTTP 請求的目標主機名或 IP 位址。
http.max-body-size: 設定 HTTP 回應的最大主體大小,超過此大小的主體將被截斷。
http.max-cache-size: 設定 HTTP 回應暫存的最大大小,超過此大小的回應將不被暫存。
http.max-pipeline: 設定允許的 HTTP 通道(pipeline)的最大數量。
http.pipeline: 控制是否使用 HTTP 通道請求,啟用後可以提高請求效率。
http.truncated-ok: 用於設定是否允許接收截斷的 HTTP 回應,當設定為 "ture" 時,表示允許接收部分回應。
http.useragent: 用於指定 HTTP 請求的 User-Agent 表頭,即用戶代理字串,以模擬特定用戶代理的存取。
smbdomain, smbhash, smbnoguest, smbpassword, smbtype, smbusername用於設定和控制對 SMB 服務的存取和身份驗證,您可以根據需要來設定這些參數以實現所需的 SMB 認證,詳細的用法和設定方式可以參考 smbauth 函式庫。
smbdomain: SMB 網域名稱(Domain),用於指定 SMB 認證所屬的網域。
smbhash: SMB 哈希(Hash),用於指定已知的 SMB 密碼哈希。
smbnoguest: 不使用 SMB 的 guest 帳號,當設定為 "true" 時,表示禁止使用 "guest" 帳號。
smbpassword: SMB 密碼(Password),用於指定 SMB 認證的密碼。
smbtype: SMB 類型(Type),用於指定 SMB 認證的類型。
smbusername: SMB 使用者名稱(Username),用於指定 SMB 認證的使用者名稱。
vulns.short, vulns.showall用於指定漏洞掃描和報告的顯示方式,以便根據需要獲得相應的漏洞資訊,詳細的用法和設定方式可以參考 vulns 函式庫。
vulns.short: 用於控制是否顯示簡短的漏洞資訊,當設定為 "true" 時,可能會以簡短的方式顯示已發現的漏洞資訊,包括漏洞的名稱、風險等級等。
vulns.showall: 這個參數可能用於控制是否顯示所有已發現的漏洞,包括那些低風險或資訊性質的漏洞;當設定為 "true" 時,可能會顯示所有漏洞報告,而不僅僅是高風險的漏洞。
指令範例
nmap -sV --script http-vuln-cve2013-7091 <target>nmap -p80 --script http-vuln-cve2013-7091 --script-args http-vuln-cve2013-7091=/ZimBra <target>指令輸出
PORT STATE SERVICE REASON80/tcp open http syn-ack| http-vuln-cve2013-7091:| VULNERABLE:| Zimbra Local File Inclusion and Disclosure of Credentials| State: VULNERABLE (Exploitable)| IDs: CVE:CVE-2013-7091| Description:| An 0 day was released on the 6th December 2013 by rubina119.| The vulnerability is a local file inclusion that can retrieve the credentials of the Zimbra installations etc.| Using this script, we can detect if the file is present.| If the file is present, we assume that the host might be vulnerable.|| In future version, we'll extract credentials from the file but it's not implemented yet and| the detection will be accurate.|| TODO:| Add the possibility to read compressed file (because we're only looking if it exists)| Then, send some payload to create the new mail account| Disclosure date: 2013-12-06| Extra information:| Proof of Concept:/index.php?-s| References:作者
Paul AMAR <aos.paul@gmail.com> Ron Bowes
License: Same as Nmap--See https://nmap.org/book/man-legal.html
隨選即看研討會
延伸閱讀
NetAlly 滲透測試及網路測試總覽 > CyberScope Nmap 滲透測試手持式網路分析儀,整合了 Nmap 功能,為站點存取層提供全面的網路安全風險評估、分析、和報告——包括所有的端點和網路探索、有線與無線網路安全、漏洞評估 (Nmap) 以及網段和設定驗證;IT 人員透過單一工具以及單一介面,即可快速且即時的掌握企業或組織的各種混合式網路環境 (有線、無線、PoE)、各種連網終端裝置的拓樸、架構、設定、網段、效能、直到網路安全評估。