|
|
1.如何让asp脚本以system权限运行?6 h5 n% h0 Q1 B, u5 {4 F* B
& X* O( `' ~# C5 t+ x: G修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....) z* X4 L1 H) @( p
1 ~# E2 G8 ]7 _8 O r2.如何防止asp木马?
. u5 s" a7 r* Z) b* l
3 O& ] W( x4 k" ?9 g+ Q. h; B基于FileSystemObject组件的asp木马
' I" G- K+ M* ]7 F
* I, m9 s( f& ]" f7 N& @cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用* W, O9 D+ z5 D# G c, W% A
, K" m+ O5 \* _5 N5 [5 o; Y* O
regsvr32 scrrun.dll /u /s //删除! x' x( c# n# X/ C, ]
2 ?8 ?2 o1 W( t1 r3 Z# f+ t
基于shell.application组件的asp木马
# n* m$ l/ c! O" p' O! u- a
6 u* r& p4 Z% s( l( X" k' t7 Ycacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用# q8 n% ^0 D2 Y) l: C7 F; d' h9 E( u( t
7 [, r6 O% Z `& \2 sregsvr32 shell32.dll /u /s //删除
4 X& s) {( V2 D6 h& T
1 d4 \- }" i$ K- r+ z0 {8 J: d0 P3.如何加密asp文件?
- w/ |' A% i7 M+ M
6 ?, ?, o2 d, Q从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
5 Q5 P/ A( d& f1 ?! I$ s; F4 l2 G' _1 p8 v7 d5 S0 Y
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
6 j& p6 R: } D0 F2 F3 F* I& a9 }
+ O# U$ B4 e' s; J运行screnc - l vbscript source.asp destination.asp- |4 f* x4 T( j3 y# ?7 N
# V3 C* u1 w7 H+ Z3 _生成包含密文ASP脚本的新文件destination.asp! k/ Z+ D+ V( Q
0 m+ |" i3 j* g( |用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了& b8 g t: T. t3 p
q; y5 _) v5 S; {/ z但无法加密中文。4 N: r+ m; L/ n$ U3 ]
g5 ~% L, x: g. F4 C/ W
4.如何从IISLockdown中提取urlscan?
1 [3 J# Y/ S) y& x# T1 r
8 I- O2 i4 Q) t7 Q* |+ K8 Fiislockd.exe /q /c /t:c:\urlscan9 \3 U7 f C5 y* Z+ i
% p4 e. m! y: e) |2 \7 _
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
% j) }% u/ a3 T4 [$ c" j8 q
/ M) \. J' u) W( P& A执行
3 F4 P- _; u- j q+ U2 T% }0 d' |5 Q8 U; B
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
# J: ]4 l1 `( `) b' B" _3 A, |- _
9 _& `# n0 [6 N+ }+ ~7 \最后需要重新启动iis
( U8 |3 z' P* a+ J0 w1 P" _- H3 r" C( j& D
6.如何解决HTTP500内部错误?3 i2 g5 N1 A) w8 `
$ K* F/ E! g, @/ {+ J# q- Biis http500内部错误大部分原因
! @, A$ `- A4 M& ^
2 E" G/ Y' j/ b8 `主要是由于iwam账号的密码不同步造成的。
$ w; o# r$ H% C% `
8 K' e& g0 h- \. j6 ^& v) G# r我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
) z1 R: ~( o' I( S6 B! U6 ^ h7 n; E$ l- u% Q; _/ M
执行/ c( x4 Z/ U1 `' w0 [# J3 z
6 t0 z' u+ F$ j% z/ r0 lcscript c:\inetpub\adminscripts\synciwam.vbs -v
2 F5 _' V; m# ]( {- A: U& P& V, n, g2 n0 p. N8 L5 @
7.如何增强iis防御SYN Flood的能力?1 [5 P' T3 v& O0 o4 d
; z: i5 N# x/ f" K4 aWindows Registry Editor Version 5.000 D* v/ q [4 p! w# X, c) G! ]
+ C5 c: g# H! q+ `+ K) `[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]$ O! y1 h5 f3 A; r- D6 M) r
9 N5 M% j* F) O* B启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后) }4 n7 f4 k& w8 d9 P
. f( A# |( K; W8 w- y0 G
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# o% I F9 e9 L
: y0 @$ j, w6 e; V! \6 e' P设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。) B# }# C2 \6 c6 K9 H
8 H6 C8 W& H3 c4 j: ?"SynAttackProtect"=dword:000000029 w! E- O8 n4 e5 A& }- k- q# ]
6 x, X( G# u) p
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态& Z' K5 X: _ w
$ ]& w, p; n" x1 ]) O7 e的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。* [1 G& j D K3 Y4 t; Z
. p6 T' E; I2 Z0 R
"TcpMaxHalfOpen"=dword:000000641 f+ K; [4 n& H% W% [( j5 P
, k2 y$ `& M* M# i/ d$ n/ ^
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。, O4 K% B$ ?1 G2 ~0 X9 Q
6 a+ b: b7 m* D9 M, D% I
"TcpMaxHalfOpenRetried"=dword:00000050
+ V [# R& g! B4 |# @7 S* h3 z0 k# t5 i0 _
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
) a8 Q5 m: E6 X
J: I2 T& m. Y- b& _项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。% G/ X9 c( @3 s+ _! r E- Y# u
' s6 x1 s" v7 N9 j2 |+ N& M微软站点安全推荐为2。# n8 f6 Z- I7 c/ u4 R
7 G ?+ `: j! x0 q9 i"TcpMaxConnectResponseRetransmissions"=dword:00000001
7 f0 h) j1 {) C) ]" N- g& I: L" w- _; ?% f6 ]. p
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。5 D0 J. R/ Z/ \! Y
. h* M* o- a$ {9 U( B. n$ G& y" q"TcpMaxDataRetransmissions"=dword:000000037 }, m$ ~7 J. j' ^7 @
9 G/ f# b4 Q( L4 M& M
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。( n: c. j9 ~1 M* D' {) t1 i
, D1 d/ V: u3 C6 U* j"TCPMaxPortsExhausted"=dword:00000005
# U0 P& M4 g% k2 W
- V" m3 F: Y9 ?" A( d禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
0 ~7 k) u8 Y& E
0 v m% q' j5 A- u; ^) S0 g) C源路由包,微软站点安全推荐为2。! O: s4 e% E6 i" H
, d4 ~8 V5 Y6 a8 z8 X6 `
"DisableIPSourceRouting"=dword:0000002
) b1 }2 H4 X C* H+ r) q2 \* j4 h; F; K" k0 Q4 c" ?
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 p2 R8 W3 v' A. u# P; b0 H4 ~+ A0 U5 V/ m% ?
"TcpTimedWaitDelay"=dword:0000001e; |: D- J: q/ {% N) N/ a0 x8 |
" d$ C( [. A$ v+ d6 Z: K/ D3 z I! c8.如何避免*mdb文件被下载?4 l q7 ?0 L$ L2 B0 `7 I3 |
4 r+ O0 H. @& T
安装ms发布的urlscan工具,可以从根本上解决这个问题。( o4 m/ \3 D; d6 f. v0 y
4 ?# L, W- i4 l, X* J
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
" P% C5 P5 t# }% C- }; _5 r" I2 _9 a/ R! O5 t
9.如何让iis的最小ntfs权限运行?% C2 m, A$ t, |3 V2 g
) g4 g) l! O, W依次做下面的工作:
& ~; s5 t9 P: e) `
2 T! n) J, b/ W. Ka.选取整个硬盘:+ M4 s7 v: r' J E( V( c
( e% ^; h( [% p& `
ystem:完全控制
7 O1 S8 o* \7 C( I" k7 ]% \5 c. H, c' D( S/ b
administrator:完全控制
5 {! M$ W; P# C7 Y; i+ U2 D; N C- ^8 O7 @8 a3 D3 a8 }
(允许将来自父系的可继承性权限传播给对象)5 C/ }3 I- A6 ]7 q* p5 @
) Y+ m2 [1 `9 E2 j; y) _' W9 Z
.\program files\common files:5 L+ S/ U. U( p5 Y2 `9 Z
3 y4 h4 ?7 f# |* O8 Aeveryone:读取及运行3 |: Z. \" B5 w: i, b
+ A6 u1 a5 p( W6 i1 n% ~列出文件目录5 t/ T& G/ H! }, T$ V: U! o/ a
+ ?4 ]4 B8 W Q( y读取
" ~5 O1 e- y& n/ d% U# Y. |7 h
- J* [: q8 @8 g; i' w; O# y: H, W(允许将来自父系的可继承性权限传播给对象). [9 D- q; v0 X* a2 a2 F4 \
2 p! O; H8 P) a8 c- q
c.\inetpub\wwwroot:# C, W/ \1 H8 i% G5 w
: O& o- h' P* _7 i+ y$ V
iusr_machine:读取及运行. p! b, E0 U" a; N/ |1 p( a
n5 k* S; D* G6 Y5 v& O3 E7 x' Q
列出文件目录
+ |( T! Y8 D( t$ i4 E( L) f+ ~* r8 k4 R" X4 z4 m
读取
$ @, f/ N/ D9 @7 u3 K( H+ \% W; t1 R
(允许将来自父系的可继承性权限传播给对象)
3 @3 J! B0 F9 i$ }- y1 I$ ~; K# u
e.\winnt\system32:
/ M3 {8 h/ s6 k& ~9 e, H1 v b+ n& ?2 C1 i1 `/ F7 Q
选择除inetsrv和centsrv以外的所有目录,
& E) f4 U. p7 l5 C! G2 [& t9 H, `9 ?" R6 |* L# I0 e
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 D. d: c4 `8 g% }6 @1 y& q7 [$ Q1 U4 [6 g0 {
f.\winnt:- l+ N' _6 t4 F3 \) {( v
. n: Q; Z6 y9 _0 D
选择除了downloaded program files、help、iis temporary compressed files、" e9 E2 i1 ^+ H& i) r c
2 x$ g$ E" n$ ^* [ A8 v$ }
offline web pages、system32、tasks、temp、web以外的所有目录9 |+ R& q, a5 l9 o2 _( C
' o( U2 ~9 [/ ?" u7 N$ i去除“允许将来自父系的可继承性权限传播给对象”选框,复制。4 s2 r5 f! W5 i# h: B
+ G: s) q5 S: I: F7 C
g.\winnt:0 V; G- x" p9 s& d A" X
- M; O( v+ z( Q" o; \3 b. Severyone:读取及运行
5 Y5 T' g7 b/ @
J9 \" Q1 ?0 c列出文件目录( U* e( k+ O7 h3 Z4 j# l
& f# B! b) _! p1 [读取(允许将来自父系的可继承性权限传播给对象)% N! f2 S9 M/ U* O* ~
& O" B: | J8 q! F, }! L9 Y( O. Ch.\winnt\temp (允许访问数据库并显示在asp页面上). o5 W g8 D( G* z( r' f* v
# m( c- ~' |9 D u; a5 xeveryone:修改
5 F5 @- s- p% L2 v; b7 H. W. ~
(允许将来自父系的可继承性权限传播给对象)1 b O4 h/ O* ` B
& U" b! j3 p! ^' q% _+ g
10.如何隐藏iis版本?
( A* ~& w! e) ~2 b# |0 U9 s6 {; W
1 y G& t9 k: B0 W: v一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
- o9 ?7 m8 z; m0 n1 `( S8 O
9 L. C4 g6 S0 _iis存放IIS BANNER的所对应的dll文件如下:
" l+ l$ x) R9 A- ~% Z O) s8 [
$ O* D" r" j- O1 z( d6 HWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL8 r8 [7 F( i' |
7 C8 C9 I8 q" {5 c0 f1 ~
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL: w) X5 I1 C/ e
- z0 x% f) y8 G& i
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL- \" E& V- b& S, w
! S- X* _- o) S9 B; L, o
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
# M2 R" n$ i ~4 u: B6 S, m/ G, C+ ?# G' c
具体过程如下:. X: n5 [: ]9 t7 i0 ^ w
Q: t0 Y$ H: |
1.停掉iis iisreset /stop0 o5 }$ {3 d: ~7 i
1 |. K9 h- W: a, l4 R- p
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件& z1 W9 @4 X9 m8 s0 p. @
* o: \1 t# n0 _% ^5 x
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡