|
|
1.如何让asp脚本以system权限运行?
7 ~( G4 D3 j$ M: y" g$ B7 Y( f0 w- {& v; K
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
4 f( }+ E1 B: c5 `1 z. }0 }9 C0 t9 j" S
2.如何防止asp木马?
9 K( G; S" K$ ~3 Y7 C
D0 W6 u7 t: j, @2 V- i$ F基于FileSystemObject组件的asp木马& |4 x: C0 s( _6 Z% q- u
, T$ d: I6 O/ z6 d1 g
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
2 T) [ V( I8 J8 M# T* D6 }% r
) ]: p" w( ?& `# Hregsvr32 scrrun.dll /u /s //删除* b/ A5 Y. H! r; M
* e+ r9 y7 V+ V/ m C/ }
基于shell.application组件的asp木马
2 c, V& s$ o( Z" L3 b* g H
) a; t ^' k7 wcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用# J8 u$ j$ b/ J* v$ `2 k9 [
* O/ i4 q2 z( s2 [
regsvr32 shell32.dll /u /s //删除
+ k: I, h# C" E, @( E6 S6 s
0 X, J" ^3 W' ? I0 r3.如何加密asp文件?
- {; Z1 }) b9 Y1 _& W
+ J! }4 U/ Z, m" m从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
: c9 R% n2 D2 q( t y/ k3 Y- P/ z+ q' t1 b' u
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
c$ v9 M( t: R4 \3 I# l6 s' z0 \& f. n, Y" W) c) A
运行screnc - l vbscript source.asp destination.asp! U! ?+ B) V, y1 @
9 _4 n ^& u% h h; E! I
生成包含密文ASP脚本的新文件destination.asp8 @3 _/ [+ I5 S, P4 t: C
i" V2 r1 g3 j$ J用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
; I+ }! t6 g% G. B
( i5 u q. S H2 q, E但无法加密中文。
6 B! y- k8 x! q
5 a9 }5 R; C) D: E. l, m' B3 P4.如何从IISLockdown中提取urlscan?
! P5 r G; {4 Y. C% c% p$ ^# @# P. f& H$ K
iislockd.exe /q /c /t:c:\urlscan2 { i5 B, {, n: e6 B/ L
+ c, `# J. @2 l% L" b- {
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?; o# ]3 z+ O; ?5 j
" V! \0 J+ L, w2 N
执行
6 ]; e% {. \+ C; r
: e/ A( C# b6 Ycscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
6 N/ I8 e( J, I# B
# B; h( ?6 O8 |/ z最后需要重新启动iis! i8 i6 Y6 X0 Z; M; }: @1 p. R
n# ~9 M; N! n0 Y6.如何解决HTTP500内部错误?
8 _/ U0 x! _0 @- u- t* `# T' p8 _0 ? f* `( I; y% }
iis http500内部错误大部分原因" ^: l# @6 Z! ?" {% P$ y0 K. P8 U
3 g% D$ r. r! n9 v
主要是由于iwam账号的密码不同步造成的。
, v, [$ t3 ?5 k8 q; i" _8 w! k v$ P8 b: w1 r8 e* e
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
7 ~( h- C, s$ L# s+ B0 b% L: r5 w2 K* e' ?
执行* `# ^% ]1 r5 ~- i5 j; d& [0 z# Q3 }
) C" u" {* K" g' y1 u6 Mcscript c:\inetpub\adminscripts\synciwam.vbs -v
D! g. Z! ^, v7 b7 V) B0 n/ P$ j. ` i; {% r7 B/ S# d- i0 u ~
7.如何增强iis防御SYN Flood的能力?
7 h0 J3 F' x/ n( F
1 x' {( F: i9 q4 E! VWindows Registry Editor Version 5.009 h. b0 ?2 Y+ t) K
, e0 _$ z5 a8 ?! r) ~[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]; T" a$ u, C/ [! ?+ c$ H4 {+ ]
' G2 b O) ?; O+ w启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后% r/ I2 j# p, T& m3 o3 P
, a5 E. x ]/ i$ G安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值5 }( O2 ^1 a6 t- H- ]2 U
8 o$ R# v) |4 i7 L* ?设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。8 u$ s+ f) U5 J R! R, a
5 e0 a: w4 P% A( ["SynAttackProtect"=dword:00000002: t$ [- |+ A7 O( B! J5 J4 `, q, a
% m$ i1 }0 q2 X# K* v6 d e
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态6 A, m: S( m8 O
7 F5 @. @* m# K5 y2 ~, I8 ?
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。; R! J% a4 O0 t( s( R
$ G& i% G- T$ t"TcpMaxHalfOpen"=dword:000000647 B$ ~& b) k' n
6 y9 I, L% u3 `5 y9 R9 H判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
, Y2 [8 p- r% E4 M0 {7 g2 _. {. x
"TcpMaxHalfOpenRetried"=dword:00000050
. J( G2 X" P% q. U0 J. X) d+ j4 c6 C& i
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
/ R& r4 E8 t& `7 i9 y+ }. y1 R
( s) P8 ]2 @6 M( e项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。5 ~2 O9 \- W$ j, {" V- d" i
# h" d" P2 W* K" q1 P) I* w微软站点安全推荐为2。
, j# H; c% Q, }- T8 k
5 M2 M. i( H- A ~. q8 }2 d"TcpMaxConnectResponseRetransmissions"=dword:000000018 o) B" h. }2 f4 j, B# u2 J
, W/ {' M4 d M3 X1 h) c
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。1 u0 [$ Q, i7 [& i# A D& l
! N. E/ M+ f7 u* x/ f' w5 d; n"TcpMaxDataRetransmissions"=dword:00000003
, Q4 P) F' ?/ F; O) q/ z/ \8 k3 S0 o( i3 Y! b; ]8 ~6 K: a
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。# v! X+ X+ R* E+ @* @
6 H& [, c/ f( }# l3 @
"TCPMaxPortsExhausted"=dword:00000005
6 x- C, k+ H' B4 [0 n/ q2 ?
% L! i! v+ o2 a& P9 o禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
8 Q$ j/ z* C7 C! m, t; Z
( j4 l( Y( P5 d2 X# H' ~$ G9 C. X源路由包,微软站点安全推荐为2。
- b5 O P5 @( F% E! }+ l4 i' J! D( A/ ^; X9 D* j4 w
"DisableIPSourceRouting"=dword:0000002
$ `8 X( U3 [$ o: E& P5 g
5 j( b7 f& `' A- a/ \限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
0 n3 M1 _# r3 y0 ], h) A6 B8 y2 n) c& ^- U
"TcpTimedWaitDelay"=dword:0000001e
1 t) a$ u2 A- s5 T5 g" W( p+ S D6 f- V. ^3 I5 I# _- S' k
8.如何避免*mdb文件被下载?0 U1 }0 `, W6 ~2 q& Z
5 a0 p/ s4 z! T2 v2 {7 n& F
安装ms发布的urlscan工具,可以从根本上解决这个问题。
' x9 S/ y7 m5 |# O3 k) I
6 z1 {+ Q: p; w& D$ n/ {& Y f同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
# q" R" I D* k$ ?* t7 }& _# p P- x2 {7 Y) M e C( k
9.如何让iis的最小ntfs权限运行?
3 F7 k1 X' _0 V# p) R
9 ~9 o7 [1 ~6 \6 r4 g0 P) o& n依次做下面的工作:/ q+ V2 E; E: d+ ^6 S+ _2 L9 t2 \, R
$ p9 z( ?% z( W& Q
a.选取整个硬盘:
7 k" C) a/ L: ^* x9 J. T& R/ Q+ O# S
* R8 {- E* [8 jystem:完全控制
/ g: T: S Q" e9 W) q0 n& C
6 b$ w! u: z$ M7 A5 p/ Eadministrator:完全控制5 x) G# \( f/ [; {5 _
3 ~& `" m+ y" w2 p- O5 y! k4 z(允许将来自父系的可继承性权限传播给对象), B: A8 T6 t! b+ n+ M& \6 v5 N
% u* m/ X2 n: N: ?) }
.\program files\common files:
+ _) X. D" ?1 \% ~& y' e; K/ u/ }! E6 t6 H$ o
everyone:读取及运行
6 Q: `, Y z( w+ i; [
0 {6 a- V7 u# l7 a0 E列出文件目录) l1 _1 n9 b: b1 Q/ ]5 h
! N9 j" l+ h( E& Z. S
读取7 s4 N/ w7 B" ]8 j) Y+ Q* h3 g) x
, e# e& }, E4 J# z6 [& i+ O, [
(允许将来自父系的可继承性权限传播给对象)
6 N: h0 u K- S, y
9 C. p4 i2 L& k# C7 [. ^c.\inetpub\wwwroot:
) T/ g' s: B2 i! t6 u+ `# x
0 y/ k2 S) S& r* o8 L" o) o% j* wiusr_machine:读取及运行) i* [* x$ V1 Z7 |& N0 l
6 F; T+ ^* `+ D2 ?" m2 h/ w8 T+ m
列出文件目录9 l% N# O8 y. l" M9 G7 a% s
9 w: w3 _' w0 C: l4 L0 Z+ A/ y
读取* E" e% |' w. N1 C7 i
4 C/ m, C; K3 d" a
(允许将来自父系的可继承性权限传播给对象)
- d0 D6 e" d5 i3 P5 s! ?
+ ^- g( @: i; y% @e.\winnt\system32:
" c/ \& a% ], l" K" f7 x' _5 a, B8 W" ^" _+ t/ M
选择除inetsrv和centsrv以外的所有目录,
' V# E( X) Y5 k8 w4 w8 z% V
$ l2 `* n& I- J- i. J2 Y6 q; N去除“允许将来自父系的可继承性权限传播给对象”选框,复制。3 U: e# E: F+ Z4 \/ l. Z
5 e5 o% |( s1 d+ lf.\winnt:( O5 ~ ^$ ^7 w$ N, c7 R1 \) G/ n
, U+ C) k& ?, e8 Z
选择除了downloaded program files、help、iis temporary compressed files、
9 `: Y5 ~& u. |) M! ?: U+ _4 _" u, S& h* k
offline web pages、system32、tasks、temp、web以外的所有目录, G" X& l W) T. w
) F6 k; L; H; p6 z9 @6 {$ E, t
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。8 z; k3 i, x. ^6 z
2 _& h7 z$ c" [$ R0 S: }6 k. Sg.\winnt:+ d7 `! L; B; T, U# _* ^8 h
- R: Q M+ r! f3 K& a
everyone:读取及运行
U$ F ?5 ?- V
( ~- L* f2 R3 `( t( P3 ?% p列出文件目录
; X5 n1 p- w& T9 ~7 o& A5 S1 s! D: R8 r
读取(允许将来自父系的可继承性权限传播给对象)1 i p+ [3 X+ ^" v4 m. P
Y( m/ K) p. [5 i( n4 yh.\winnt\temp (允许访问数据库并显示在asp页面上)
4 p7 g5 _ H8 L8 U
! j% _( M3 [ P$ d0 Z+ E! Severyone:修改0 E- Y. W) v; H7 n3 P- E
8 K- r5 ~* ~$ [2 c9 {7 _0 ^(允许将来自父系的可继承性权限传播给对象)
- h5 K v! Y. b/ h3 c1 p1 W8 F
6 l" @* A6 S6 ?10.如何隐藏iis版本?
2 e2 S6 B- G) B6 o* e) v* @5 J5 y! `
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
# t ^3 {- S0 X5 M
9 _2 x7 N* t. t3 \( } v; C2 l# giis存放IIS BANNER的所对应的dll文件如下:
8 Y; `- q* X2 J8 l, C' ]. Q8 b7 Z) {2 a( v1 b0 L* B
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL( W G( o# a: B- ~& ^2 [
1 {$ w/ E8 j5 ?8 ~
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL' v3 P/ J! c) l) f) W
7 r2 g) K. y- L) M3 ~. O, s/ T
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
/ v# `' A; w9 J, A
) [, w5 ^9 a: g: ~6 a# R) s, c你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.06 C; ~7 Y3 O& ^# _9 F I
K" e- w8 }. |! e. Q( Q4 K, y
具体过程如下:
! G$ ~+ F5 ?1 t0 z$ }' I. R$ ?8 t; R8 y; w# a4 ^7 C
1.停掉iis iisreset /stop
1 D2 n8 d: Q' h0 }. {% ? {; u
9 R0 | H% _/ n( \2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
. k' N& {! \' t2 z( q; p0 K0 Q
4 u3 ?$ [+ N5 w% S' z( M6 ~3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡