|
|
1.如何让asp脚本以system权限运行?
+ b: k# ~0 S( p" s8 T4 f! |! j; q0 e# M3 \
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
( V2 {8 }4 {0 H6 d4 L, a l7 }5 a/ G" ~3 ]: x8 B4 {, ]- R3 t6 b' q# @
2.如何防止asp木马?% g$ i3 E( c% i6 z% e3 C5 d2 J( N
2 m- d8 }- [2 q" J基于FileSystemObject组件的asp木马- n6 x6 B$ X5 y+ g+ w3 ~" k$ U/ Z
; T4 i- i& w0 x5 `" }cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
# t* b4 J% I) w/ X8 q+ @" J [: f6 D; T5 _5 b" V2 y! I( c
regsvr32 scrrun.dll /u /s //删除
( |8 W' Z! K, K7 t7 e9 W6 Y
' |3 s' ? _! g基于shell.application组件的asp木马. g6 r1 t; r h: ^: G0 M
2 V- H. G5 m* gcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
" P$ \: ^% U2 a' j/ e; Y. `$ x' s2 q" e4 j( \0 T" D5 J
regsvr32 shell32.dll /u /s //删除5 s3 P" e- d# g/ r& I6 @
$ b0 ~3 K! W% D' s8 ?; W
3.如何加密asp文件?0 g o6 P" p, c: h1 g2 J
( E0 o7 P8 u. {( D0 L, J从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。) a# R% y- f/ R
7 p! ]9 [- R, `7 x6 r8 T8 j! b. r安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。, J2 l& B, O; w7 g0 ?$ g% Y( Q) Q
, p+ a0 }, {5 i- m/ ~; ~运行screnc - l vbscript source.asp destination.asp# s* `9 J* U, P9 F1 M) k8 S
& B& q. @7 ]2 n2 V6 R6 {7 d/ L( H" y生成包含密文ASP脚本的新文件destination.asp8 \2 _, F2 i$ S) G0 F
! Z x4 x. s( V; W: T# W
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了+ I6 h& D# Z9 T( G) e1 l$ t
" O3 Z4 P2 c! Q% K0 o5 ?& k" b4 V* b' u
但无法加密中文。
( d' P5 P9 G0 n5 L$ t5 }; Y& x: W$ J7 f" g& R
4.如何从IISLockdown中提取urlscan?; `7 }8 e; I8 U6 C0 j* d- h! S3 s
. I3 J* f' J9 P1 e/ |iislockd.exe /q /c /t:c:\urlscan
+ I5 n T. q2 H
# e6 M0 R; y8 T$ d: m6 [5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?" I$ ? x( | J) H' v# m8 r
0 _9 W4 J* G# z% |3 F4 I- N执行
7 T9 S$ \5 H" N9 ~0 O' R, v1 x
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True+ j, m* g S# y- d
7 p& R- K2 @( j* x
最后需要重新启动iis) ?; j. D9 k$ [, Y# p6 C d
6 T8 O3 e* |) |# J6 A, Z- g# f
6.如何解决HTTP500内部错误?
0 h1 |+ [* g0 Q% ~3 f7 b0 } B4 b7 W- k: f" C
iis http500内部错误大部分原因# x; l! |7 b( _
- H- V w& J" U {' l d1 {
主要是由于iwam账号的密码不同步造成的。
- s6 S9 d8 D$ B# j: m9 D" S- f$ Q6 F
5 D$ m4 v4 I9 `8 p2 @6 i) t我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
+ o2 w. f8 K8 f9 Q7 L: y. o. ^: j; V! |
执行
$ }- o3 k) Q" F" f: L6 j1 D
% j/ l" E3 o/ k7 j1 Ucscript c:\inetpub\adminscripts\synciwam.vbs -v
; S3 a. e& h* Y. t( k9 O
% M, R/ } R6 p1 i8 [7.如何增强iis防御SYN Flood的能力?
8 K9 t! g+ ~( k; V) a% O5 H7 m/ E) N e- v) C
Windows Registry Editor Version 5.00
' r& `( {' B0 N0 E5 p5 W1 [: s
k. r% {. i! Q' _1 D" H6 c[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]+ i+ d% m4 g; S, D, H0 n9 l
$ }% \3 J5 y S/ V% i* q* H+ ?启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后9 y' C* S7 o8 J4 l& _* n
' H+ V) R5 Q& k9 j/ F: f
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值9 k; s( o+ a+ T& \: y0 |
% U6 w+ w% m' B2 h( |) ]
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
& j b& ^( w* R2 z0 t& e' } P0 @' O+ w
"SynAttackProtect"=dword:000000028 E! N& @1 p& a8 o( i
8 L! m7 V, V) K9 v* n
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
5 S5 S5 q1 c2 A. d2 S6 l- D i
* c* [, `4 S1 {& K9 V. h的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
1 y+ s0 N' N( o8 [/ R# `/ ^( M" `# o, M: ~1 v+ v
"TcpMaxHalfOpen"=dword:00000064
2 r1 Z% \( w- t( l9 v2 p `1 H
F0 @0 a; h+ @ M9 l$ Y/ S5 g判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。/ f$ l3 X: C4 k3 L p A% c
9 ]: F$ l" w' L8 Z: E( f"TcpMaxHalfOpenRetried"=dword:00000050
0 I7 m# ~& {: M A4 S) w) N1 I$ F, _0 t7 H9 Q1 U$ u
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。: x2 l8 ~) ? `9 S2 l
" b- W+ ^! K% h8 }0 [1 y项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。! `7 }8 Z% c) F( F- L# l0 k/ ?% \! c
, r# E6 `( v( T微软站点安全推荐为2。
5 `# T2 X2 {( i& {; `0 |7 y
5 r" V* t. j7 u- j2 e( | s3 ~+ O$ l"TcpMaxConnectResponseRetransmissions"=dword:00000001% b1 \) i& R- D- Z5 b+ E1 p8 T
0 h% V0 W# d8 L% r; z设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。$ u1 L+ \ c" g
( {4 ?! k" B! X/ n& A3 `
"TcpMaxDataRetransmissions"=dword:00000003, @5 s5 p+ \8 E( f8 h
8 u7 `% \5 D: Z4 H设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
4 r7 C8 }/ Z' T4 {# F; K1 w# y7 u. H s3 W, Y/ H
"TCPMaxPortsExhausted"=dword:000000057 g9 s2 _. b' v& O2 w
* E# o/ H2 ^( x- M
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的. A( S: n/ R+ U2 @9 Y/ S
$ `- \4 J6 K, [! w
源路由包,微软站点安全推荐为2。! U+ s$ Q R& |3 T5 g( j8 ?
A# O3 Q* q6 b* `* `"DisableIPSourceRouting"=dword:0000002
& N) I) A- d" N" i2 Y+ R
0 x- C& l0 @/ m* X" d" C: n4 J限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
' y) h' J _3 y! E8 }8 e# I" g, J: ?( ~$ u. D
"TcpTimedWaitDelay"=dword:0000001e
M# V, a! @$ V- C
% P: \/ ~# U9 z2 D0 C0 Z, S+ p0 O% T4 V8.如何避免*mdb文件被下载?) G) y2 z+ l! O& ^' e: W6 u; l
5 j0 v- p3 Q) _. s安装ms发布的urlscan工具,可以从根本上解决这个问题。; r( I9 Q3 P; u. m E# V9 a
, B V9 P5 g1 o8 a
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
, L, i' L9 n5 _3 m- t
. N) ]2 m7 I! J9.如何让iis的最小ntfs权限运行?. u) x+ O. C& u! y1 q$ \+ _. U
5 p: w' |" }7 Z/ j+ M, m0 ?9 d+ K
依次做下面的工作:
+ Y% N8 L( _' t4 L3 v3 ?
' S. [ P8 r( E- R+ N Na.选取整个硬盘:
; T4 R3 ^5 i- E# b9 X1 {. j
. V7 Z! I6 k4 o8 _ystem:完全控制+ \! N& d8 g$ C1 w
- W, L- G7 G5 [. y3 |administrator:完全控制' F# E0 z0 _, o* p' Y( x# ]: [
+ u/ @ |* ~1 H1 x" ]. x0 n
(允许将来自父系的可继承性权限传播给对象)8 B8 s: C' G# h- z( J7 o
3 U/ ]: U" l- D r; i- \$ f.\program files\common files:8 E, }. {! `( O+ Z1 o, p
# N' F3 J! ]* c- t4 J! c
everyone:读取及运行
$ L4 x- D: w$ C3 K. \
3 X% N* U( B, s' m, V/ h9 a) K列出文件目录8 \8 I" w& X1 G- W* `1 M
' O9 Z- J/ L) Y读取2 I8 [8 F# H( b' I) c% P# s9 I
$ x) B1 d! `3 s/ u9 ]% P" o
(允许将来自父系的可继承性权限传播给对象)
. `, ^* q$ w: \. U" j; B. G
/ o4 b( k' I# |- k" }, p, Ic.\inetpub\wwwroot:
) f ~5 f3 `6 H1 g/ k8 F+ M- N& g+ K' c2 p
iusr_machine:读取及运行
0 k) a" m. f4 i' o
. T8 N0 m6 o+ v3 c( Z3 [9 @0 {+ H列出文件目录
4 F: U6 u% q/ b6 G( }# P, I; u: n! H7 }
读取
" z$ S& C- }' n3 v
8 e5 p* }7 N4 j& F' J) K3 F4 X(允许将来自父系的可继承性权限传播给对象)
+ Z" d) h, i. v9 c p. j) e3 B
' Z+ R ^: r9 p) Oe.\winnt\system32:
# P( y( c1 R" Y. r3 v7 Y- M. V
/ g- K3 \( T1 F! ?* S8 C# o& i选择除inetsrv和centsrv以外的所有目录,5 a+ T% c( f5 M8 m& A; s
+ _# y% o6 r( u, Q' r( b8 J去除“允许将来自父系的可继承性权限传播给对象”选框,复制。" v+ R' o% @" U* }2 E) {+ M
- g8 X7 C Z) k% @- b$ {
f.\winnt:
: J# G- \3 j1 T& W3 H' ?: m' @' |5 u! w! K
选择除了downloaded program files、help、iis temporary compressed files、% J! [$ c( ]4 r( e8 F; Q$ {2 d
! _, M e0 f. M* A$ r& r: f: l# w( J2 X
offline web pages、system32、tasks、temp、web以外的所有目录
5 [- E/ {) j: W- ?; E8 Q# k6 G% o9 M" U1 S3 a+ ]- \5 k
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
# Z+ m+ X6 E9 U* ^0 q: R+ R* M9 n% ?
g.\winnt:
. W% \! e" |2 n+ L; N" |+ H9 n1 y# C5 T- H6 s
everyone:读取及运行
" v$ W) B9 `1 X/ e3 C% O$ ~& p8 _; q/ u+ ~! P
列出文件目录/ e) d% s, k: b( o) R: H
# G) L# @5 c" n' a' L% j! I1 e
读取(允许将来自父系的可继承性权限传播给对象)
" f$ A4 b; M/ _; v6 U0 F+ ?( S n/ \1 ^$ L8 Y3 Y& _
h.\winnt\temp (允许访问数据库并显示在asp页面上)
/ v( C; e' } P. i; D+ t2 s7 d% W
4 u" k* y/ P# Leveryone:修改- J& {! P; Z+ s( p: U8 E
& d6 {. }2 t1 R, e+ u(允许将来自父系的可继承性权限传播给对象)5 k$ \; }7 Y5 c, ?* o) |. m' i! h' k
) ]/ S- f. i% W% `+ w/ X
10.如何隐藏iis版本?; V9 _+ I. c) Q) ?1 c$ O
; C X( m9 n$ f一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
/ E# g" d3 }1 z: Y, D) O$ m$ A* F& }2 x( }; M) w, J+ n, p1 S
iis存放IIS BANNER的所对应的dll文件如下:
% @0 H8 I7 b' A
( ^' |, T0 _2 v: n) V8 ~WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL0 G0 C9 Z* D% s0 o' l) N0 m
* U v( E. ? D' J. T; I2 ?. }' yFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
& O, |: x. u' p! K% v
& }( Y5 x! h bSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
$ g6 j! t$ F- W8 k* O& W9 Y6 {9 l8 y, v% `
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.05 {% o! n7 A4 P* d) a3 U6 M
# q0 H0 ^7 t& S0 w具体过程如下:
% D( s6 |$ w9 g2 p1 z- ]% Z9 @4 l7 S1 ]
1.停掉iis iisreset /stop
- X q* `: c! g3 s8 c$ b9 V& e3 S: g2 i2 Q- h1 `: K/ {2 `, L
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
K p# ~0 t! j7 ^, h# i7 _% u) w; T1 G `" S- j& [7 T4 p' e/ b
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡