一、原理
Windows管理规范(WMI)提供了如下三种方法编译WMI存储库的托管对象格式(MOF)文件:
将MOF文件执行为命令行参数及Mofcomp.exe文件
使用IMofCompiler接口和$CompileFile方法
拖放到 %SystemRoot%\System32\Wbem\MOF 文件夹下的MOF文件中
托管对象格式(MOF)文件在 C:\Windows\System32\wbem\MOF 目录下,它是创建和注册提供程序、事件类别和事件的简便方法。其作用是每隔五秒就会去监控进程创建和死亡。那么只需要将恶意代码写入该文件中即可提权。
二、前提
mysql5.7 开始默认使用 secure-file-priv 选项,不能随意选择导出路径,所以 mof 提权仅适用于以下条件:
操作系统版本低于 win2008
数据库为 mysql<5.7 且知道登录账号密码并且允许外连
总结来说就是当前 root 账户可以复制文件到 %SystemRoot%\System32\wbem\MOF 目录下。
三、提权
3.1实验环境
攻击机:win10 ip:192.168.34.1
靶机:win2003 ip:192.168.34.131
攻击机在靶机写入一句话木马,蚁剑连接。
3.2利用方法
先 select version(); 判断数据库版本,小于 5.7 可以利用 mof 提权。