Ich wollte das mal mit propane.py testen.
Meine Testrechner müssten verwundbar sein -- jedenfalls diese Lücke enthalten (Ubuntu 12.04 mit proftpd 1.3.4a).
Im Nachhinhein, per Hand, hat sich das übrigens auch bestätigt. Allein das Kopieren ins www-root klappt wegen fehlender Berechtigung nicht.
./propane.py -t <server> liefert "Target doesn't appear to be vulnerable!". Das ist eine sehr mutige Aussage. Man kann sich ja mal den Quellcode anschauen. propane schaut, ob der String "350" in der ersten Antwortzeile vorkommen. Wenn nicht, ist alles in Ordnung. Tatsächlich kommt dieser String aber erst in der zweiten Zeile. In der ersten kommt die 200er Meldung " 220 ProFTPD 1.3.4a Server (Debian)".
Bei mode 2 und 3 wird die Variable webdir verwendet (die es gar nicht gibt). Es müsste options.webdir heißen. Diese Tests schlagen damit auch immer fehl.
FAZIT: propane kann auf keinen Fall so verwendet werden um die Verwundbarkeit der eigenen Server auszuschließen!