|
|
1.如何让asp脚本以system权限运行?
4 V# G& N5 p$ N+ O/ J1 N O" D/ O, W* A& r. N4 ~2 T' M) a
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
2 b4 p( u b/ w4 C a3 b
L2 T2 C: E* [0 o5 z) p2.如何防止asp木马?: I- y$ i6 l. d0 `8 f
& g3 c! Y0 P. ~( n
基于FileSystemObject组件的asp木马/ i5 n( \) c( A1 ?' e
, F3 U) r4 ]3 a( c4 o2 [cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用5 a( J7 Q" |; k1 L2 H
5 ^: N/ X: s- \, N4 k4 ^' @! f% Eregsvr32 scrrun.dll /u /s //删除8 g( y4 w, b1 p
8 q/ r$ d' O3 b4 [) x9 Q
基于shell.application组件的asp木马, j. r2 T5 X/ [" G# R- N0 y4 v" y
2 ?' W' H1 r* ~, t
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
$ P! e. n5 s! D; P" ?0 D
4 f) Y$ D& S2 U1 }0 Cregsvr32 shell32.dll /u /s //删除
& F" W) e6 e0 z8 c1 _% I# }& e. \ j# b1 t6 ]4 G( P; e
3.如何加密asp文件?
7 p4 W" y" o( u: o/ ^9 {- l: N. {' z& t w; C5 \
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。, N' K, y; v5 D: `: O
$ W: P2 L, _7 k8 I2 m2 U9 l& X
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。. ~ }) N0 ^5 e7 ^1 U- s
9 b l4 w' V0 `3 o
运行screnc - l vbscript source.asp destination.asp
$ O4 X" |8 a+ K) s. V2 c8 \- ^- H( Y0 c2 ?/ m" U# w7 u. \
生成包含密文ASP脚本的新文件destination.asp1 K* g) I2 u( Z; [' Z& h) C
: t& N2 H5 o4 V
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了8 \1 ?: A$ [" K a5 [: W
2 w2 z8 f- @- I4 Q% ?7 X
但无法加密中文。9 R: N# I2 D* v/ E6 @5 U; Q
6 u- a1 [2 e6 v1 f" k4 @1 [3 e7 @
4.如何从IISLockdown中提取urlscan?
2 t& p' Y' L; i9 \
E h" @" V: d$ q8 Y( p7 J9 }iislockd.exe /q /c /t:c:\urlscan
/ q* }# {* E- j* u' k9 C, W! o; g
" ?3 q9 W, h, r3 T g" }# a7 o, \) O5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
. a9 `1 {4 f7 q( @' p/ f' i% |- K- u$ u" P( }5 p" e# Z* D% @0 r
执行: {& L0 q' v/ C8 c! v( \% Z" W# C
+ K$ S" |+ c% [
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True, k3 o' P( Q, r$ h5 T
5 B( u6 r4 v2 U$ h
最后需要重新启动iis; N, f: h6 e% R0 I, X
) ?' V9 t$ j7 j- i
6.如何解决HTTP500内部错误?
. b" |; H; d8 h& C1 E
, Q3 L* Z0 D3 D2 p8 C/ J p) ?iis http500内部错误大部分原因
7 J$ l1 ?1 M$ O6 P
# h) w/ G8 ~4 r6 M主要是由于iwam账号的密码不同步造成的。. [) V; R8 p, Y5 i- n9 j
1 j" w8 N/ @" f; p, h我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。" ^/ A" J" p ?- H3 ?: X
( H, _. u! L/ ?* _* g4 f, |& \/ V执行8 U3 s5 d* {- Q/ e% r: U. E, d
* g% V- r, R" v' V" M( ?
cscript c:\inetpub\adminscripts\synciwam.vbs -v
+ P* H E& I& i1 ~& H9 N1 f( L( z% F9 n' O
7.如何增强iis防御SYN Flood的能力?
2 R( I, {+ { v2 X/ y0 j
4 ]" S, s9 Y3 Y9 d; R1 Q* xWindows Registry Editor Version 5.00 H) b& @2 L8 g( h" P
8 _) p) z- V3 Q[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]& R1 N+ n0 i3 n, T
6 q# r2 U0 i4 d; u5 m. I. O
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后8 Q8 _8 V K; R" }
" [8 P8 z2 i& G' _" I, O
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值- R; O& P3 v: X+ K
b1 N8 c0 d2 I
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
0 I( P) J0 ]4 B' q9 H8 g$ U
7 S5 |) w5 h) r" F"SynAttackProtect"=dword:00000002
0 C4 r7 e" o' X: b6 v# t' u3 h" u$ [* x
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
* l+ e Z# H% [. f3 I
/ m6 Y ~1 `* i! F9 V/ j的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
3 e0 Q% R! s4 Y" L- [0 t1 {$ C
9 O( Z" `/ I" [. b" t"TcpMaxHalfOpen"=dword:00000064
# ?$ O/ U. W$ b* h# y2 ]4 |
) h* K$ {9 I' F判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。0 b3 ^. [1 D# v0 j8 J" C6 i
7 I& N' P+ |6 Z3 Y5 Z"TcpMaxHalfOpenRetried"=dword:00000050
4 w5 p! r# Q" Y% p. i, ?+ b3 Z n0 V @
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
9 b- _& U' a) d1 |; }5 i
' s8 M* ]5 ] s, t, D/ E, a项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
( ~+ ?, }1 ^4 y! P0 p0 q y) E/ n3 z# |2 q/ j) ~3 m: X
微软站点安全推荐为2。
K3 k+ B5 P, [" g7 b5 e/ c4 u4 N9 t# p% d# z5 t- D; ~- w
"TcpMaxConnectResponseRetransmissions"=dword:00000001( n) z2 {: s' j" ?
4 D* Y' x2 {- w( C4 x# i' V6 _: f1 Q设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
8 D# n; g6 d3 ~ [" Z, a9 D7 `5 F4 C3 s3 F6 L. P w7 K
"TcpMaxDataRetransmissions"=dword:00000003
# c, m( d& @* i; |* T4 N. W# K& W0 c/ G% o- q
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
/ z4 H/ N* i9 V% L+ y( K' C" ?8 H( T' G% ]+ C4 P% B# k
"TCPMaxPortsExhausted"=dword:00000005
3 N. u1 j+ w I# T2 H
# f' f! O. q( ~0 i* v/ R禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
" X$ I w9 I& D4 y- Q: d3 Y/ T* _; \
& o3 l7 B0 v6 Q- N4 o源路由包,微软站点安全推荐为2。. A9 C1 C, j* b- ]; B+ [1 e
y% J% ?* o K"DisableIPSourceRouting"=dword:00000026 P' f- q4 N# g
1 O+ s6 w" A5 I0 ^4 q; A- T限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。! l% x$ n( K7 T- b v
0 |- |/ A- u. z& x+ i; w
"TcpTimedWaitDelay"=dword:0000001e- K3 i: Q: m% r
6 `) ?$ @' W$ q! F' M( i
8.如何避免*mdb文件被下载?; k+ d* ~, f# X1 v
& m, A; i/ f- G安装ms发布的urlscan工具,可以从根本上解决这个问题。
2 ~. f( L' e, @/ H: A! }, W
9 M4 b9 B2 [6 p5 k同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。4 O2 M5 B2 m! ^( G5 \1 v+ d: E/ w9 d
1 F" D, A0 v, z
9.如何让iis的最小ntfs权限运行?( x& B5 M; m/ V5 z. x
+ c" K0 w" u& C0 F, j
依次做下面的工作:% P" F+ u* | [2 x' c- \
( d" Q2 \5 K$ [' g, N2 k2 ?a.选取整个硬盘:2 G$ ~6 r$ t u* t9 U% L
7 r5 _7 v7 u( B k* s' J3 c; Q
ystem:完全控制! P+ H, {5 K9 P
) d8 O" x) I! ?; }& I0 Oadministrator:完全控制
' X2 `2 Z6 j3 X) m/ @& Q U
5 z% a( q9 [8 v: o' X7 K(允许将来自父系的可继承性权限传播给对象)" y1 |9 P/ v) V6 C% }
! B+ z0 {6 {4 q; m5 M" L
.\program files\common files:& ?* c5 \5 r( S, i. \
( q: z' J+ M2 }3 E1 Y; Teveryone:读取及运行1 S0 _7 |" s H! i, f1 j
( p2 B1 y( l! R" u9 r# v* s
列出文件目录
+ A8 D+ ^% ^" i5 K
8 |2 y. w( p5 h: |1 }读取
) t( O( z: K& t- `, Q% ^* Q; c% g; a. t
(允许将来自父系的可继承性权限传播给对象)
- W4 L+ G2 K6 M M* s. V. ^. T- D; H J
c.\inetpub\wwwroot:% A$ r) U4 N; ^4 G/ c# ?
0 }' W5 C4 g' h+ t8 y4 Jiusr_machine:读取及运行+ J8 J1 [3 |8 S
! P1 h# e9 E; o9 G3 h+ M
列出文件目录4 t, A- Z9 t8 g' `' l8 d z/ T9 E5 S
; v6 V- ]8 K- p/ E$ J8 l9 S读取" T/ S* {" w2 P3 A( N/ U4 s
! k3 n. A; A7 [0 \6 [
(允许将来自父系的可继承性权限传播给对象)
6 s7 O( M+ o8 a; d7 d7 M! F& g! n/ j4 J: R, O3 l
e.\winnt\system32:
' i6 g' f8 n: z$ H, s" u9 A1 @$ Y! A, r- g
选择除inetsrv和centsrv以外的所有目录,
7 }) g: k+ B+ {: Y& K/ T+ A
: b% u* A% O3 Z7 Q去除“允许将来自父系的可继承性权限传播给对象”选框,复制。2 q, J$ G# T' Z8 \. j9 l' K
+ v; T& ~* I1 |; {8 z' A1 Rf.\winnt:" Y) M, n t7 o. ?% s" Z; O9 y" U
' [- a i+ {$ H" i/ S. O* p
选择除了downloaded program files、help、iis temporary compressed files、
- b! Y6 W* s& J# U% i# A! P2 A* _- e2 K! b9 n" y; l2 {+ y3 a
offline web pages、system32、tasks、temp、web以外的所有目录
% u( ?6 ]& H8 Q$ }( [& P" q6 Q0 f
0 z4 X& x8 C; }去除“允许将来自父系的可继承性权限传播给对象”选框,复制。0 R" {6 I6 O x# W7 l
' a( N9 C% a3 O
g.\winnt:
$ }6 v0 z6 W* {! _
8 @8 ?" F% T5 ? u( t0 r$ Ceveryone:读取及运行7 X U% z5 v. q
2 ~- F3 }8 h. _8 ]( a& n
列出文件目录( i2 b$ M8 Q- M2 @5 M, r4 P4 e
4 d# s5 l) c' c9 g, M
读取(允许将来自父系的可继承性权限传播给对象)* {% M) b9 _# F6 l
( X) s4 ]: W6 R5 j. p& R0 b" q
h.\winnt\temp (允许访问数据库并显示在asp页面上)
$ c" _! n. `! I6 L3 j9 T/ [3 @% N
' g' z5 u: S: o9 @everyone:修改
, u# z( \6 M9 H8 }
& q8 O. C' g" P7 e(允许将来自父系的可继承性权限传播给对象)" X- v0 A0 \# b% ]
5 ?/ B8 u) I6 D2 C4 L. S+ @* x' J
10.如何隐藏iis版本?* H$ B" G! P. m" R- w
) P/ d! U& r" w' v' H& f
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息' i9 y E" w9 ^7 C" \
1 N5 R2 ]2 q+ ]9 J
iis存放IIS BANNER的所对应的dll文件如下:
2 I( n# C, u# c0 A# ~+ B8 r
% B1 Q5 ?+ G7 l5 [, e: p; Q: CWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL" @9 A% D; W4 B7 B+ d5 t) r& o4 X
7 e! n2 [! g3 N* Y: |# _
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
2 P/ H ~6 y/ t2 r
8 K+ f4 N! Y, e% l/ tSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
# j- ]( k8 W* Y! z
* v# R H/ e# ^& ~- V% I你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.00 W3 ]. n/ S) e- A" W3 {( _
1 c+ [% C" `* }) l% ^; @具体过程如下:2 r) O7 B3 P( \7 Q5 H- a1 _& r
' _6 {# w3 D% t" s0 F1.停掉iis iisreset /stop
# P9 l" c9 u6 _* d e( a( l( a) V% }( Q3 C- y9 ~ d" m
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
( @7 }% Q+ z' O
) S7 E1 b- z1 p# J3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡