|
|
1.如何让asp脚本以system权限运行?& I) ]9 [. y4 W7 i. m" F3 g* [# R
) F+ |3 W" l1 s ^0 m( C修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
7 K& \2 S' E9 c* R( `5 Y4 V9 k" |& G! y0 J
2.如何防止asp木马?% K/ `- P8 q" Y1 g5 d
6 I3 o& M: L' i/ D1 N/ T9 y基于FileSystemObject组件的asp木马
& ]( h0 V* j7 S& h# Y, R! j+ T/ l# w6 m
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
# O" M. z1 C6 l* G* G- P1 ^/ b2 V& C d
regsvr32 scrrun.dll /u /s //删除
9 ]8 ^$ x# c0 B; Z- b6 [3 {( ?- w: ^# j+ }" m& H
基于shell.application组件的asp木马6 }9 J5 F+ _! G/ r8 D
2 Y H0 }! E- p
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用- O3 S3 P& H. y' x. R4 T4 V2 W
' j, F0 U F1 k! f% u- nregsvr32 shell32.dll /u /s //删除
, [2 p3 A+ ?1 G6 u6 V; e& o) F1 M0 l
3.如何加密asp文件?. @. t* }& M: R9 v8 B
. N0 m8 M4 o7 w" V1 a
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
% Y5 H- a) d" }$ V3 X- M, ?' [' n) |$ P3 Y
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
% X1 E3 \) E' y1 T. ]4 U9 p4 u4 R5 f" s: P1 F$ A/ e
运行screnc - l vbscript source.asp destination.asp$ I3 u# b1 c' f) N. V
8 @. t* d3 L/ x1 U; O+ w
生成包含密文ASP脚本的新文件destination.asp
' k( O+ a$ H0 [, P: O9 u+ c
( y% @% |- a2 Q用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了% {! c# t6 K7 ?# |, y
0 o$ T1 ]" o! Q3 y. \2 W# \$ Y但无法加密中文。
4 O8 c) E3 k. ?0 [
, J: z1 M# F: H/ |* G( M+ X4.如何从IISLockdown中提取urlscan?
( R5 X# e! ]" K9 F: I5 O5 C ?- v+ P* P4 f. Z6 {
iislockd.exe /q /c /t:c:\urlscan
$ R& \$ Y4 g( t$ W
0 A% l, Z) L9 C, `6 w7 }8 u5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?% I# i6 C* O+ C% ^& U$ H# F+ x: {
1 u/ e n! R8 e6 I7 L0 k: |
执行
9 X+ @; A$ |% S7 T. \. `* {" C/ H d4 O$ u/ s3 R
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
7 c1 g) `6 \ T( q7 U
; ^( ^' }# X9 H最后需要重新启动iis
4 S* m( r0 z+ B. j: u
$ b* l. G& T! m6.如何解决HTTP500内部错误?
- R% p; ?8 q% d3 S% W% W& ]* E r1 S/ k C3 |( p& w
iis http500内部错误大部分原因! E; }; }, j% ~# P
4 I' s' e2 b# R, `; y: T# [
主要是由于iwam账号的密码不同步造成的。
. G9 Y# A. B& h- ]9 C" i
0 m, ^+ p& Z0 Z% u我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。3 i! z) @% k6 X0 t
" g0 u6 X9 |( o) y3 [: M2 [
执行/ d* P: y5 `2 n m4 v+ @
0 q2 ]8 m7 J; @+ G/ w
cscript c:\inetpub\adminscripts\synciwam.vbs -v
/ `0 A9 v% K, _4 q0 y. D- S! z
% L# s+ t9 Z1 d7.如何增强iis防御SYN Flood的能力?
6 Q/ p( P# C- g* {
% k! _* `; d1 E5 r2 `7 PWindows Registry Editor Version 5.00& {6 e$ A" Z3 o
. l: _) J5 D+ J4 L9 M* D[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]+ o) a* _3 R) r# H ~% y! r
3 o+ P% x2 A! T8 q3 P/ v( M& |$ o3 n启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后, p. h. Z( u' P0 P2 @- A: n
: m) L, [7 O- H I4 k# s安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
" x% s' g$ q5 Y' U6 o6 V/ W4 }7 V8 c1 U/ ~
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。' X* l( T9 |9 a- h$ y
& T8 e0 |" h& M$ w7 z+ |& r
"SynAttackProtect"=dword:000000027 k& x5 P; O' q- ?
+ k8 i3 E( c) E& ?- \- s
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
2 ]# Y2 L* ~" {, }: B4 D: M! }, t+ I0 h* v( o' V
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。( i P# P. f8 k% n5 l$ K0 a4 a) B
4 h/ k3 P! s5 y$ s& B
"TcpMaxHalfOpen"=dword:00000064
$ s2 J$ F) \; j O) \
0 ^2 b$ {; f/ ~8 p! A2 o判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。* x4 Q& J# w2 |7 X2 _+ r% J! P( ]
6 ^" A- M" ^, ^7 X" `: t' P9 v6 @"TcpMaxHalfOpenRetried"=dword:000000502 I" U) k# o" S
" y3 d9 E8 c1 Y5 E( x8 V设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
7 b1 _# j a% S0 F' L3 Z r: B" s# u( A4 l
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。9 y7 Q V w. d
* v/ S( a+ \3 l, ^2 q
微软站点安全推荐为2。0 U1 V3 E. k3 e; b! p' S
% _( f$ ^# F( A3 q8 Z"TcpMaxConnectResponseRetransmissions"=dword:00000001
' z9 C0 x7 `: b- ]1 i
2 |6 k9 p; K( ]) d W设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
' N4 q8 i7 |: K7 A# h
! {8 D0 b/ X+ l8 {6 \& W! S! x w0 ["TcpMaxDataRetransmissions"=dword:00000003
1 d }. _& q$ m G4 v( W7 Z
# z/ B6 W. o7 n \5 g8 J设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。3 \& S" J$ [% m6 L5 o
- t3 z* J9 t& A( U/ u0 x$ q8 R
"TCPMaxPortsExhausted"=dword:00000005: \% X5 w+ N6 L6 A. v$ f- x& ~3 u
! T' J; N8 }0 G4 O
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
+ Z7 J- `' x5 G7 c: m' ~$ R) U0 b4 }' T D. Y1 m
源路由包,微软站点安全推荐为2。" o7 K; x8 ^7 \! F
5 n8 o* j/ K6 n; R+ F7 G3 \9 _
"DisableIPSourceRouting"=dword:0000002
: Y& R; g/ E/ O3 o' M7 O( D0 W0 d! r- ~( k/ J
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。% ^2 d2 j& z( N0 j
% H% R7 _5 |: X+ E, @"TcpTimedWaitDelay"=dword:0000001e
+ S4 N9 s2 p2 H4 F9 {
h$ J2 v/ {8 P" R8 ~8.如何避免*mdb文件被下载?
8 l4 m+ {( J/ m, d7 u7 N B! K8 R9 ^# |" h6 K( t0 r: [
安装ms发布的urlscan工具,可以从根本上解决这个问题。" L4 a9 C, h& q$ ~) w) D9 w
% ?4 o; p2 W M% _. o1 \同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。; s3 F+ g f4 }( B/ P9 t6 v
: H2 l5 K# Q- H- N" e9.如何让iis的最小ntfs权限运行?
4 n3 e/ c. j" R+ u0 H
' i( J) P S4 p( J" f6 y依次做下面的工作:
. ?0 [0 o( c. R" e! v3 {0 Y
) F! J" p$ `4 l2 T! Ea.选取整个硬盘:* N5 |( w- i! w' @1 n; i
7 M$ m$ h; Y6 V
ystem:完全控制 E8 E: [9 j; l8 n6 @
3 b) R' }0 Z+ ?7 w# ^; Radministrator:完全控制' m- O- `/ I! l \9 R5 F' V1 m8 Q
) n3 m# F2 A5 w# \! S(允许将来自父系的可继承性权限传播给对象)6 v7 _+ }/ s8 e) i5 @
& k6 f+ i7 Z0 P7 [, V
.\program files\common files:
9 N3 d2 u' z$ M5 C
& ~% D, Y6 D$ `4 `7 geveryone:读取及运行& Z6 p- y: H( i0 J" u/ q
; U2 u, I7 `" J* T1 @5 J2 u3 ?
列出文件目录
! X0 h- Y+ B( f/ ~; [, K, S0 ]4 E/ f$ H! |4 ~6 X
读取
b% V: ~; W z0 N& W& Z
6 K, }' M$ j0 `+ V6 z(允许将来自父系的可继承性权限传播给对象)" Y2 q# V1 E( k$ ~
7 n& d) o3 K9 N7 k
c.\inetpub\wwwroot:
6 R$ K i. o$ ]. w
8 Q3 j o* ?1 Yiusr_machine:读取及运行
8 p; A4 E6 u% J' X# z7 y7 R7 Z7 O0 G$ k2 p8 n8 v4 _
列出文件目录
6 j" l3 A1 h3 b$ b9 U% U& v6 k) U, M
读取/ K, x- f w# V4 x
' e5 M" r- J; N" N/ B
(允许将来自父系的可继承性权限传播给对象). z/ S/ T5 e; J8 t% {
7 K1 z& p. f3 R+ s5 k9 B6 he.\winnt\system32:/ n- R0 y/ i9 H! x! U0 b
) E6 g a9 z4 q& a/ S1 Q
选择除inetsrv和centsrv以外的所有目录,7 I# B5 D. t2 {. {3 u# t
7 M; J3 [6 {% S8 T( t u/ J
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
3 e& G" g7 V- s) f, C4 v8 E3 X' z
. v4 ?# R/ B8 S; p& J& e9 Zf.\winnt:
9 G+ a h- ?+ N% W2 X. S$ J4 n h/ v4 O' q3 j: h) |) H' x) v- D3 n
选择除了downloaded program files、help、iis temporary compressed files、: d: n2 ^, Z! u, R0 p, {9 y
3 ~; P) m+ r$ C! a9 N; Noffline web pages、system32、tasks、temp、web以外的所有目录
5 b9 Z: ^3 b& O$ `/ f
2 M. l3 b# e7 ^, k去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 S$ o$ o# A/ l% x# k; I
2 a% } d1 |$ t1 Y, b+ A ag.\winnt:, U! M7 P: X) C
0 S. E: Z( R |6 c0 n
everyone:读取及运行; S' D5 A q9 |. G' x. y5 \! L
, m" S& J0 m" N1 l$ ?3 f
列出文件目录
6 S3 L! b t1 y {; _5 ?8 W0 s' z1 K
a; F9 h7 J$ f3 C2 s( _! x读取(允许将来自父系的可继承性权限传播给对象), B. n' I+ B i$ U6 p
, s# X! [% [$ y. c" a9 e0 v6 S8 Vh.\winnt\temp (允许访问数据库并显示在asp页面上)) m) E& e q7 s
& m" K1 z: e* r! y( W. G) `everyone:修改
8 J' y, S x# i4 F: d+ i5 S
1 p0 W N% T+ G4 ](允许将来自父系的可继承性权限传播给对象)- Q, Q/ Z; ~0 w4 I0 Z3 Q$ v
. D* T( U- H" B; _' A4 M, U6 t
10.如何隐藏iis版本?
8 }9 w2 J8 U4 {4 S1 l* v$ k v$ b% s; x$ n' e# ~
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 D+ A' k; h% A& g# S
4 Y; y& V( u! T! Y8 C/ k+ miis存放IIS BANNER的所对应的dll文件如下:5 x' j: t+ Q4 t% V& m8 o: q2 m
* y. u0 \/ I* H% H6 h: RWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
- j6 T" a. _, O9 P# b
7 n2 T4 x: P! T. [% B0 D( HFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
% ]# b% |" x# s0 w4 N% }$ ^" x( S7 I
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL q2 k9 _( m' L6 r3 t
: P7 { q* C5 }$ G2 T# T
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0. R x: w5 c% ^* d( l- X8 b& g2 R
$ O# w" t# D7 ~! S% i) C/ L' A3 R
具体过程如下:$ ?& J S# v) V0 A
. y% Q* X1 O1 D, `
1.停掉iis iisreset /stop
% \0 U7 c& V' _& D+ e
% j3 p) A: Z5 `: {' e2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
7 ?1 ~5 v1 K4 R9 p: l3 g
) `6 C* n- G' E* J3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡