打印

[讨论]WScript.Shell改名后的对策

nimda123

晶莹剔透§烈日灼然

Rank: 1

帖子: 18
精华: 0
积分: 62
阅读权限: 40
在线时间: 38 小时
注册时间: 2005-9-26
最后登录: 2008-1-14

发短消息
加为好友
当前离线

楼主大中小发表于 2006-5-2 00:21 只看该作者

[讨论]WScript.Shell改名后的对策

议题作者：nimda123
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

一台服务器用海洋2006plus检测支持有Shell.Application、WScript.Shell、Wscript.Network、Adodb.Stream但用“WScript.Shell命令行操作”操作系统自带的cmd和自己上传的cmd执行命令得到的回显是

拒绝访问。
缺少对象
错误: 文件无法被打开。
错误源: ADODB.Stream

请问这种情况下怎么能继续使用WScript.Shell进行命令行操作呢？

TOP

xiaowu

晶莹剔透§烈日灼然

Rank: 1

帖子: 120
精华: 0
积分: 221
阅读权限: 40
性别: 男
在线时间: 72 小时
注册时间: 2005-4-6
最后登录: 2007-10-17

发短消息
加为好友
当前离线

沙发大中小发表于 2006-5-2 10:10 只看该作者

应该是权限不够！webshell下是Guest 的权限。
把cmd.exe放到有Everyone 权限的目录看看。能不能执行

TOP

寂寞宝贝

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 447
精华: 12
积分: 4738
阅读权限: 100
性别: 男
来自: 云南
在线时间: 174 小时
注册时间: 2006-2-7
最后登录: 2008-12-15

发短消息
加为好友
当前离线

椅子大中小发表于 2006-5-2 18:59 只看该作者

缺少对象??????我觉得应该不是权限的问题,怕是组件被动过手脚了!

成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

TOP

hack520

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1082
精华: 6
积分: 5594
阅读权限: 150
性别: 男
在线时间: 579 小时
注册时间: 2005-3-18
最后登录: 2008-8-31

发短消息
加为好友
当前离线

板凳大中小发表于 2006-5-3 07:11 只看该作者

WScript.Shell已经删了。

Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
注：此账号密码已更改，请本人与冰血联系修改密码。

TOP

longren

晶莹剔透§烈日灼然

Rank: 1

帖子: 20
精华: 0
积分: 63
阅读权限: 40
在线时间: 255 小时
注册时间: 2005-10-13
最后登录: 2009-1-8

发短消息
加为好友
当前离线

地板大中小发表于 2006-5-3 09:59 只看该作者

觉得可能是权限的问题
或者管理员禁止了guest使用系统目录下的cmd.exe了

TOP

remax

晶莹剔透§烈日灼然

Rank: 1

帖子: 324
精华: 2
积分: 907
阅读权限: 50
在线时间: 79 小时
注册时间: 2005-10-25
最后登录: 2008-7-13

发短消息
加为好友
当前离线

6楼大中小发表于 2006-5-3 11:22 只看该作者

我也常遇到这样的问题,探针显示存在可用的组件,就是不能用...
郁闷呢....
比如用一句话写入时提示Adodb.Stream错误,而在网站后台可以看到Adodb.Stream可用...强烈不明白.

20字节够写什么？

TOP

nimda123

晶莹剔透§烈日灼然

Rank: 1

帖子: 18
精华: 0
积分: 62
阅读权限: 40
在线时间: 38 小时
注册时间: 2005-9-26
最后登录: 2008-1-14

发短消息
加为好友
当前离线

7楼大中小发表于 2006-5-4 18:01 只看该作者

权限问题的可能性很大！
再上传个aspx的shell执行自己上传cmd得到的也是“拒绝访问”

顺便问一下2003有everyone权限的目录有哪些？

TOP

chenxxxx

晶莹剔透§烈日灼然

Rank: 1

帖子: 40
精华: 0
积分: 72
阅读权限: 40
性别: 男
来自: chengdu,china
在线时间: 46 小时
注册时间: 2006-3-18
最后登录: 2007-6-20

发短消息
加为好友
当前离线

8楼大中小发表于 2006-5-4 19:07 只看该作者

win2k3
C:\Documents and Settings\All Users\Documents
是everyone

blog.chenxxxx.cn

TOP

sunwear

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 3829
精华: 70
积分: 19632
阅读权限: 200
性别: 男
来自: 天津
在线时间: 1681 小时
注册时间: 2004-8-16
最后登录: 2009-1-9

优秀管理奖原创技术奖核心建议奖资料收集奖

发短消息
加为好友
当前离线

9楼大中小发表于 2006-5-4 22:25 只看该作者

应该是注册表里WScript.Shell WScript.Shell.1 的项被删了 Shell.application Shell.application.1 也是

TOP

heroooooo

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 54
精华: 0
积分: 2994
阅读权限: 100
性别: 男
来自: 山东
在线时间: 18 小时
注册时间: 2006-1-8
最后登录: 2008-11-15

发短消息
加为好友
当前离线

10楼 大中小发表于 2006-5-4 22:41 只看该作者

1.删除了以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1

2.regsvr32 /u wshom.ocx
3.regsvr32 /u wshext.dll

一直都是这么做得,没有做过恢复操作..

TOP

xiaocool

晶莹剔透§烈日灼然

Rank: 1

帖子: 164
精华: 2
积分: 433
阅读权限: 40
在线时间: 76 小时
注册时间: 2005-8-4
最后登录: 2009-1-9

发短消息
加为好友
当前离线

11楼 大中小发表于 2006-5-6 14:05 只看该作者

也不叫什么变态设置啊。。我就遇到过很多这种情况的。。。。一般安全意识高点的网站大概都这样吧。。。。

TOP

yjd

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 56
精华: 0
积分: 3188
阅读权限: 100
性别: 男
在线时间: 43 小时
注册时间: 2005-2-13
最后登录: 2009-1-4

发短消息
加为好友
当前离线

12楼 大中小发表于 2006-5-6 19:12 只看该作者

c:/Documents and Settings/All Users/DRM

是everyone
不过觉得LZ没什么希望了。权限肯定不够。

TOP

yjd

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 56
精华: 0
积分: 3188
阅读权限: 100
性别: 男
在线时间: 43 小时
注册时间: 2005-2-13
最后登录: 2009-1-4

发短消息
加为好友
当前离线

13楼 大中小发表于 2006-5-6 19:13 只看该作者

引用:

这里是引用第[9 楼]的heroooooo于2006-05-04 22:41发表的：
1.删除了以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
.......

那网站程序要用到WScript.Shell那不麻烦了。。还是把权限设置好比较适合。

TOP

hack520

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1082
精华: 6
积分: 5594
阅读权限: 150
性别: 男
在线时间: 579 小时
注册时间: 2005-3-18
最后登录: 2008-8-31

发短消息
加为好友
当前离线

14楼 大中小发表于 2006-5-6 23:09 只看该作者

一般来说网站程序是用不到这些组件的 [s:75]

Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
注：此账号密码已更改，请本人与冰血联系修改密码。

TOP