|
|
1.如何让asp脚本以system权限运行?) m. f. }! ^6 h" g
& `' ?0 d% s5 h9 ?1 l' l修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....: u% d. c; b; M5 ~: q9 t. Y
. [8 ~+ V ~; J( C: v) y4 v# \/ [, z2.如何防止asp木马?
: g! {8 }0 ]( u1 \, ~9 T [* R3 ~2 _5 Z* e3 V( s1 a( P5 E
基于FileSystemObject组件的asp木马1 r$ T$ C! o& g2 `* `/ ~: G( T! s
4 u5 p+ }0 d2 _: L/ m3 o! ~cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用/ K7 e m0 l; e9 \ A0 |) e/ s
* S4 F2 k' H. |5 T
regsvr32 scrrun.dll /u /s //删除
7 t" ~% M, K4 q1 S) t, \; R8 E0 I! H
& ]' U: d# y; e9 M7 y基于shell.application组件的asp木马
( f3 |; m X& w: c; \7 V
4 h2 y6 ~( J/ l" K9 n( pcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用5 D) A: W+ S9 v. E1 a: _ ]# ^& Z5 J
l2 X& h6 h* `3 k# oregsvr32 shell32.dll /u /s //删除
, e9 N8 V& Y" ^$ F% A6 m' A1 d" Z, E& r. G8 f6 w" l$ _2 x3 y4 Y3 h
3.如何加密asp文件?" b# U* W! |' y9 ^" d* C* h
! o+ s! `" P* r从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
1 c: I* D4 o$ K3 w# D6 n% e$ s+ D
7 A/ p/ c8 D6 w, M+ _安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 a Q9 f5 D& G
( m, W# B1 x9 |/ N
运行screnc - l vbscript source.asp destination.asp
$ S q0 n0 t& O6 X
( t) y1 v) k X4 R4 U ?( e生成包含密文ASP脚本的新文件destination.asp+ W+ f3 R* f0 e6 q# z
0 Y9 G( _* G- K0 P) n0 P( w
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
) u7 F, n' f: {% K$ [4 n& t& h/ S/ H. o3 `& k' P$ b Z; f
但无法加密中文。/ F; P+ k: M' S& s6 t N
: L. w2 N, c: h% Q3 [
4.如何从IISLockdown中提取urlscan?
7 |. M" V. y2 ^8 I" Q* Q% F! ?2 U: P$ M- q4 b
iislockd.exe /q /c /t:c:\urlscan
" T6 h" n; j! r( A
! f! O5 v8 X& Q$ |% s5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?% L& F$ M+ O# W, g% A
8 w% |3 Y! j% J( l; G) A
执行( o" x) L3 w) d' D$ w) x" m+ O/ o9 @
1 o% A5 t# y6 Z3 N8 O
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True) }. C5 F7 y* T1 Z) ^, N0 o
$ @$ K3 s n7 }
最后需要重新启动iis
1 ^$ Q+ k I! I5 e1 X3 C: V: U" J. b; I" T9 z1 I
6.如何解决HTTP500内部错误?0 `. }: B. h/ y- ]0 n! W V
. C# a% m4 \( S- V6 N# P0 C+ [. j
iis http500内部错误大部分原因
9 d# Y% p7 Z" M$ c5 x# p8 J* Y) z- k7 e& |+ Y
主要是由于iwam账号的密码不同步造成的。
6 |7 u5 C( {6 q# A# c
4 w! s6 |8 b) [我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
) x8 T5 Z. p3 r B9 k9 p6 K, K$ B+ y$ Y3 r) @0 k8 F2 W
执行9 V' [& W% O) k3 `
& C" f7 h3 Q' Gcscript c:\inetpub\adminscripts\synciwam.vbs -v
" R) @) U' X+ Q! E$ |" ^2 R
8 [& y5 V5 v& i2 u7.如何增强iis防御SYN Flood的能力?
{- f; K' U6 A" o8 ^* y2 o( t, I7 Y5 Y q* {* `% W
Windows Registry Editor Version 5.00
$ U% N& O( e2 C$ r1 c* x/ S0 R# I1 D4 T F
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
5 y0 f0 y- H) K1 M1 o0 L2 o# ]( [; R4 D! G6 {- Z* L( F2 \
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后. f7 {: p7 L2 \6 K- | b
9 g7 E2 }: K' d* x% B3 f
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值. H3 W4 ?/ R1 }% P5 [1 {
7 o/ \( N: O+ Y' }, j) i" U
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
+ m I. o! ~) }/ U
8 `% `* [) R# I S"SynAttackProtect"=dword:000000029 ^& l4 |7 h, S! ]/ i
6 l7 z7 I! ~- ]9 V* A( c' ]同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态& S9 }3 Q% R. Z9 V$ h; `
& U9 i8 f4 j4 M1 ~
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
$ P3 O4 V! ~: ?, B3 c, a g
' s& P) }( t5 t6 Z"TcpMaxHalfOpen"=dword:00000064
: Y* W& a+ s0 c4 W3 e+ K/ s2 g
3 k* H/ R- j+ s# n/ h+ u判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。: n9 q! @* H; F; v. l. G$ K5 ~
) l- r7 T8 p1 g* F. I# Q5 j8 z"TcpMaxHalfOpenRetried"=dword:00000050: y, [( \( B" ^7 b( c# `5 q# t
; |5 J1 F+ c! g& \1 p2 Q
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。/ W& ?) Q# S4 X( C5 ~, E0 m* J( h4 p
0 c$ x5 S- Z r5 l& @% \) Z+ ~项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
( }. i6 f) |8 t6 e
! N/ v- C' Y5 G4 d: o \微软站点安全推荐为2。$ j3 k& n: e$ I f% }) p" g
- m9 t* R- c( u* Q"TcpMaxConnectResponseRetransmissions"=dword:00000001$ d. T- X) L- q! G. H, u4 r
( i* `1 |. |, x6 K) ]
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
4 S9 ]3 d: f; ]9 `* r* a* h' }1 y8 E8 ]# r$ k" `- c
"TcpMaxDataRetransmissions"=dword:00000003
5 s9 [3 d4 G7 u$ M2 s8 w9 v% Y' [% G9 t* T0 O
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
! S. V0 b( w, @3 a1 T
. G: e' C: ?& d2 l5 r0 Y"TCPMaxPortsExhausted"=dword:000000059 @9 N A* p4 w# s/ q
% y( g! m/ }1 g8 l) k$ t2 n% z
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
& B* t; J) v- p' ?- [
6 c: L; Q3 N- ~! L' Z5 |) _) t! Y源路由包,微软站点安全推荐为2。0 x5 \0 f. r# `% M3 Y- n
- x0 B% F; i4 c"DisableIPSourceRouting"=dword:0000002
* K, t/ V5 {7 R$ T4 [. A4 J3 \2 ^
& P1 c% N0 \+ P0 a$ v% |限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
% z# q% A& B, s h. Q
* l9 i* t+ |- Y" k& H3 P"TcpTimedWaitDelay"=dword:0000001e
3 l$ h7 X- K8 h8 t9 Q/ d
. { ?; t2 `& `6 U& t8.如何避免*mdb文件被下载?9 [. I) w2 v( q3 X
9 H1 N1 B1 X; `* |0 s安装ms发布的urlscan工具,可以从根本上解决这个问题。8 A3 m9 R' N$ ^( S+ y/ v) C' K
& j3 o4 F( B% e5 z5 l' j# |, F4 Z同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。6 c$ s8 |: m) g
4 D: U3 A( m# y; D5 S* B. x1 f9.如何让iis的最小ntfs权限运行? n) B- f4 ~2 _' S
" ~5 g$ ?! x8 y& s4 |" k- P; F
依次做下面的工作:; ` J4 @/ l8 b7 Q% `" ^
( }# B) ~/ e$ n" Oa.选取整个硬盘:; C( i; P) z) O+ \
, q7 d5 P. n3 n1 L) |
ystem:完全控制
% G( ` Q, H$ [( [/ Q' V) Z. R* N: I% w: o6 s! e& K. u! R
administrator:完全控制2 m- G! t8 {& `5 _& v7 Q
( ?( P2 j+ h8 u7 r" e(允许将来自父系的可继承性权限传播给对象)
, h* Z8 u0 F E" h* S
% C3 p' R+ S& e. z3 T7 K.\program files\common files:
7 `: i2 u# w" Y5 |
N: M0 H% ] F8 v% j7 {everyone:读取及运行
! N- _- P2 e4 r; P
- d6 J' d/ J0 _ Z3 j, C. @列出文件目录' c0 _2 z: U+ ]3 A, F) M7 ^
: u9 Z' h3 R, R; Q$ F- J
读取
% J) C' ^& Z) C9 ~; w* ]# B6 G
( [! r, V6 f; R4 Z7 y/ @(允许将来自父系的可继承性权限传播给对象)
% o; A* R9 F0 h* h0 g5 s2 |% i5 t1 w: X4 @2 m: c9 c3 `' J2 m- ^) r F
c.\inetpub\wwwroot:5 M% T4 i1 P9 K' R1 A6 _
% b& y/ a3 d3 ]4 ^: n1 Q" R9 D
iusr_machine:读取及运行8 ~; x6 g8 A7 S! S% T' `
8 [) V1 }$ m) p. I/ V& q
列出文件目录4 u8 Q. r+ `+ Z. i5 M
/ e- J! G6 `9 E& \! g, G
读取1 ^; c, A% w/ w0 ^* i& @
5 s! ?9 \, U5 d+ m# T( ~(允许将来自父系的可继承性权限传播给对象)
7 b" |. |# `4 O& a6 z7 Y
. t. X4 ~# D4 f/ xe.\winnt\system32:
f' V+ [7 X2 t, v* \9 h6 d0 L- M) Q# T; e( `; y2 F- x0 e7 X
选择除inetsrv和centsrv以外的所有目录,
2 R; L! d' U; h- S5 M# `* w/ g0 {* C- O+ ~
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 o( [" w p0 v. c' Q- B" T
5 Q+ G$ k8 a0 S) C/ yf.\winnt:& Z+ A* _& P" m$ F; q- d
) x5 y' j0 t, @2 l% l9 b选择除了downloaded program files、help、iis temporary compressed files、
J4 w& ]# X! \0 }! I, h9 V9 K" g) Z/ ~% N- D$ E
offline web pages、system32、tasks、temp、web以外的所有目录+ m* l- O: r8 E
8 x+ V, G! O2 O6 x6 q0 }去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
, i" e4 B, N9 ~4 Q# `8 A9 X7 Q$ O( b, \
. c# \& r6 s% s7 l T( f2 ? m$ Ig.\winnt:
+ l8 ~8 @; B! l8 v- U! k* [: P3 S0 L% p& [- N* R; N
everyone:读取及运行, t f3 u8 o9 ~; `9 s) \5 `% k+ j
$ N% j9 L2 I$ W; A7 _- N! d列出文件目录
8 B( m& c+ c8 c3 F* Q5 a
) M5 k* p+ I( a读取(允许将来自父系的可继承性权限传播给对象)6 Z, N( z) }0 X1 l( w
" D- B/ w0 q; V5 rh.\winnt\temp (允许访问数据库并显示在asp页面上)8 p: K; @6 i$ Y
: b! r: n) x/ e+ J, J* f Weveryone:修改1 W& f0 ]8 i) b1 f
, \5 ]5 m; J5 s2 U/ D(允许将来自父系的可继承性权限传播给对象)5 x% R$ W; m( T6 m
# Z4 q+ ]9 f8 l- p, }10.如何隐藏iis版本?* l4 y6 k$ S6 `% `' R& ]4 Y+ \
% n$ l! o6 [6 R! q8 ?; \/ U: @: c一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息8 [: T3 u6 \, U1 A: _% }! D
, R$ c A k8 _2 p$ j* a b8 C) b
iis存放IIS BANNER的所对应的dll文件如下:2 f: n/ G% i/ _" Q) |8 p& c* Z
' k6 o$ I8 U8 a/ T2 q
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL% z. B$ {5 I2 Q1 U ]
9 L& D% L& k# ~! b- _) b
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL% z3 h- M5 Z& H/ N
1 L. I0 J9 z- ^
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
6 D! n$ ^5 K) i- x- W6 N. @" n( ^) P$ Z- r
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
0 w1 ^3 f9 H# f6 b& p& R6 Z
1 b. l5 j/ W' o- S& F% k6 f6 b具体过程如下:; _5 e& I) H) ~6 t [( J# b5 O9 d
5 c& l* W0 ^4 Y1.停掉iis iisreset /stop
' I/ {: U u7 w: {
7 o; J9 I9 J3 X; V3 c2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件, I$ e$ u2 w$ I+ I# k
" i7 [$ _% y9 L3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡