|
|
1.如何让asp脚本以system权限运行?
+ W0 T9 z* I0 s% L/ v; q, D
5 O* R) }1 {6 V! Y$ ]8 k: Y# V修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% g4 B Q0 D6 t( c5 }
! `2 w% M& C7 o- y G2.如何防止asp木马?" y8 L0 P) y( t
& h: Z) v/ D, S0 K% K基于FileSystemObject组件的asp木马
+ M8 E/ H/ o/ O* u
. B ]/ d5 i4 G2 U) F+ o! }cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
3 e" {$ L7 F/ R5 C' v. z
2 h7 s! o2 e6 n# R! Kregsvr32 scrrun.dll /u /s //删除
k h% `9 ^6 Y2 o3 o; P
2 E) E' K- i9 o3 T8 ]基于shell.application组件的asp木马
0 f' l. E/ X% k4 {. U( ^
# s' _3 i0 F- y# N8 K7 Xcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用$ G+ q& w/ S6 Y) E" w5 j
; N8 L2 C" i) w6 F i, yregsvr32 shell32.dll /u /s //删除( O- |; I* F; l& }/ I- t! ]+ Q: y- b
; T$ E: m/ C2 N0 @4 E* P! L3.如何加密asp文件?
0 p# Z9 z' c* _" L
" r1 d& U- |1 X. Q! p5 H" W5 P( v从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
6 T4 k! O5 f( {- N1 Q7 x+ ]+ M: D' X a3 p( X9 w- W
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。) ^! Y. u) j9 C! R9 b
% c) K; O- S4 [6 `% P8 j运行screnc - l vbscript source.asp destination.asp: O! {8 k4 P6 H. d! j' G8 }
9 k P& J) N. o" i: `0 i! b' M* l- B
生成包含密文ASP脚本的新文件destination.asp
( `$ K) s6 l' T' o! W/ Z; e% P; o+ O& ^9 E- Q6 ?8 w2 y4 ^
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
0 Y, V1 L$ q# _# R" N0 H& L# c4 G, o- t% s# X* G9 Z
但无法加密中文。
& |% Q1 z4 A6 M; S
, F( j3 `( Y, k/ g+ `7 Q0 y5 k) m4.如何从IISLockdown中提取urlscan?
/ m- f2 m1 V( W, o* H+ J* @
! N. a+ F6 ~" Y$ U" p/ U2 tiislockd.exe /q /c /t:c:\urlscan) `( `% y3 Z% n |% d. O" S
( u1 B7 R1 `- x. k
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?1 ~8 f4 W: u8 z7 j2 k5 l
, V8 R B2 }6 T4 J执行
) B1 J7 ?" Z' L+ [
. [) v# R8 q0 ? O) hcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True- c* c. ?1 r5 P- ^
9 N6 M+ h/ m6 N+ E4 I3 x最后需要重新启动iis
0 K. G$ z6 f# T' j* M9 h6 L9 X6 L6 ~, ^2 z; F1 I5 a7 }
6.如何解决HTTP500内部错误?) w- |1 {# K/ m2 j6 b2 b2 _0 r
1 r5 L) d/ r# _ qiis http500内部错误大部分原因& h& m9 @0 d; a5 Q4 s* p! H
( R% g) A _ T, E
主要是由于iwam账号的密码不同步造成的。% [0 j- {! n9 l4 O& i. K/ k2 L
F! \/ M" Y, [! r; S我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。: ~0 x+ a8 _+ D/ z5 K
( J* g$ }, O( ]- w% U0 R& c% D执行
1 F# g0 O7 f: s/ R, A0 D1 _: Q; V. A- ~
cscript c:\inetpub\adminscripts\synciwam.vbs -v
. O9 N: M! q( ]
/ H! o c2 u' Q1 d6 C7 \7.如何增强iis防御SYN Flood的能力?
) t; b$ v* }/ W# L: i5 e- {0 @: t$ a9 n" J" k+ R1 N9 L: o
Windows Registry Editor Version 5.00
: c- T4 S' L" C+ S7 M
8 Y) N! g4 w# r* s& I" a7 P$ o; x w[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
* s' Z+ V; _4 U0 F m: ?( E) b4 j$ }% X
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后6 @3 I4 |/ ?& M8 C7 p( [' Q5 G+ H$ l5 f
2 t; b5 v# l- S% B安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
+ u) {6 N) a( F. N4 Y+ h
/ N5 M: R, }& f: n8 n. K S设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
* f. ~/ N( u7 H3 t/ l2 b
0 {( E6 z# d q7 A3 e8 p"SynAttackProtect"=dword:00000002# z- U8 P6 ~, v% m# f6 c: Q
x0 X( I/ X5 d8 C# q+ `! m同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态! K/ R2 w0 ]1 f+ [
5 e: G: ~9 i5 u- B# K, D" _的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
0 f7 |; c& U# _; a+ I
! W. s2 i. r# e" f2 `"TcpMaxHalfOpen"=dword:00000064/ D9 v3 D3 K$ |" o
, o4 l2 U+ L! }) M) I
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。! {( c* h1 _2 P( |" J
5 R3 D$ A' C$ S"TcpMaxHalfOpenRetried"=dword:000000504 D# }8 M" j# S+ l
& d# _- I5 j5 |) C. v `
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。" z# k3 V- A5 M: j1 U
+ }0 G8 o6 }* a9 j4 c2 U2 W项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 y/ o! D a% y& @6 I, K4 ^$ o
4 R3 a) E/ s* P" E微软站点安全推荐为2。- F# K8 x: n& ]/ `- y
( |* `, a7 r% o! F# J1 }& t
"TcpMaxConnectResponseRetransmissions"=dword:00000001& X7 m, { @5 C' r' F" ^
* d4 ?# J) F6 |2 m
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
& [8 N% w, A2 L- _( Z9 w. i: T* r# L+ R' l- C+ Z$ h
"TcpMaxDataRetransmissions"=dword:00000003
% P* S1 N* B/ U! \3 @+ S) ]; z+ }8 {- E
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。4 H0 l4 X! Q# t' C0 T% b
7 e; `" b2 m/ C _# s& @"TCPMaxPortsExhausted"=dword:00000005
+ U4 F" `" b3 J' |/ j4 D
4 z; F* C# I( F/ g# U禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
8 J1 ~0 G/ B& k# f8 E
8 ~. i) r; S) t2 y. I8 f, Z源路由包,微软站点安全推荐为2。0 v; c" ~! c# h( E) i: R8 J
n( R; b) [1 i' }"DisableIPSourceRouting"=dword:0000002+ z6 k5 u; S) C1 ^& r
+ A( _% V6 a* O! A% u+ a/ [1 O限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
* Q! V; Z# |# r, p5 Q2 J! ]1 N+ |1 g# ^% K% E5 e
"TcpTimedWaitDelay"=dword:0000001e
( W' U" v2 `- D* C: ?/ w3 @2 s2 }# j$ r! P1 `
8.如何避免*mdb文件被下载?
4 Z, d) v0 K2 \0 T
; \" }6 b; d* Z9 \安装ms发布的urlscan工具,可以从根本上解决这个问题。8 L2 u6 A# C* ?. X! e; t( U9 d9 Z
$ q) _% g! [9 @1 I2 X! }7 R" I- ~! d
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。; G" _* o2 R# h, r3 I
; u2 O/ R% X4 ~2 \9.如何让iis的最小ntfs权限运行?
; I/ X7 F8 C8 Z9 M9 D( r5 @% p8 c0 l; t1 z1 G
依次做下面的工作:
2 t0 V8 f0 ]7 B/ u
- V+ D e2 w. e" }5 `- _4 Xa.选取整个硬盘:
( j7 |. v5 G3 u5 |$ h$ f7 x
4 s# h- P$ Y! }" ?ystem:完全控制
8 C l' O7 h2 T' [3 T, S7 G
, D; L4 H! i. e; k4 xadministrator:完全控制
! H: [' C' \5 Z1 d1 a
- j* N; x( [7 L) e1 n# i(允许将来自父系的可继承性权限传播给对象)- s4 s; w i+ q) C1 W5 S! p
a# M0 P: |9 C& x/ d8 b6 I.\program files\common files:: z& O' B- w0 I! [9 S
$ @. C/ P. [) {( x. Z
everyone:读取及运行7 \2 h& Z4 `3 `
: G1 p; E* B9 x! E o2 {8 ^列出文件目录
+ b- C7 f7 k% p4 h/ k T
8 c8 J3 ?4 O9 k5 ^' @读取
2 h" G- ?) i# ?% f+ R1 E. Y7 [9 c5 \/ c
(允许将来自父系的可继承性权限传播给对象)$ M7 E" I+ R( ]& l1 v% [
2 l/ y# w. W6 u/ k% p
c.\inetpub\wwwroot:
2 g/ b( ?) G6 R. n- g
' o/ R+ W) e. q4 x" H; D: Ziusr_machine:读取及运行: m5 R9 E+ w4 W$ v6 V Y, @! @' Q/ G
2 Q/ V$ H1 g% |+ G
列出文件目录/ N9 b1 d3 n7 A# M9 [( C5 l- P0 y/ H
3 P; u" X, _. t- l: ]- r8 @
读取
5 Q+ p# Z5 O B8 O* t
! G& |8 ? w4 ~(允许将来自父系的可继承性权限传播给对象)
, N1 W y* w/ h6 n5 C9 A0 t7 {6 b( i
e.\winnt\system32:
3 H0 J( W) M, Y
% g; N. K5 C$ x: `7 [3 @选择除inetsrv和centsrv以外的所有目录,# z' o$ E$ ~' K/ |4 R
6 x7 _2 t; T4 K
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
+ [" s* L" o2 G, N) o2 G
1 G& y1 N. O% C! U* A( G( cf.\winnt:6 F( T' | J b
0 j4 y5 t$ C( C2 N( b2 u选择除了downloaded program files、help、iis temporary compressed files、
3 O' ~ A' n: }0 W" x, G
' ]% d7 r( P* Zoffline web pages、system32、tasks、temp、web以外的所有目录' V* `& m ^% q6 q: F3 j' ~8 L. b
/ j5 F- c! d( W$ ?$ ~
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。5 D! p0 |$ A5 x
4 `/ J! U+ f& P* Q7 U2 d* b8 J% [g.\winnt:
* o' ]; G# s( @' L% j% P' U |
1 a7 x6 M% O5 b) O$ [7 Teveryone:读取及运行
- R: I+ Z& E5 F- t8 G0 g
" o) H5 y6 h0 s1 i# H+ j列出文件目录
4 ^$ C; w9 ~& \( B i4 g6 R6 f# B7 q# q1 G- m) y
读取(允许将来自父系的可继承性权限传播给对象)
1 U) \/ R; o% t& \
. ^6 p, T3 L! } {+ rh.\winnt\temp (允许访问数据库并显示在asp页面上)1 j8 g+ }7 Z: @. E
- l4 l% S+ i7 x5 F6 H3 Peveryone:修改5 N' `) l5 Z- a
9 A0 O1 L" t* q- M. l
(允许将来自父系的可继承性权限传播给对象)
: n* @, T2 q: Y( i' U8 A
+ D: q) \9 L0 H3 \7 n10.如何隐藏iis版本?8 h9 L- ]. o% P6 Z x5 t
+ P, j/ ]$ @# v4 e+ T8 S一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息7 s" p' s$ h& B( O. M9 g4 T9 H: b$ \
( I0 I. P2 D9 e
iis存放IIS BANNER的所对应的dll文件如下:
( D6 D W9 A. t
\/ c) u' A; i; O3 M! ^/ UWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL/ g. V& ]! J, b D7 k
6 q% Z0 m# y4 rFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL' Z6 \1 u6 H- @$ G2 ?: x. L
C+ U7 A# S. |/ _SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
8 M+ O! x4 _' U3 N8 Q6 w* I9 n; E: p
) b/ u5 u% k; g2 l. e+ P你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
6 A0 H% N/ K5 Y7 I% L8 ^% W3 U% ?" \
# G% s1 }) X% Y8 U) s4 |: w% b1 w) N具体过程如下:
0 l# u$ {1 p( M: V, d5 }
1 U8 Z! x$ [' L: Q* H+ ?1.停掉iis iisreset /stop
# ^- w- g/ K( \# D# ?4 G" L; K8 o1 ^0 }# ^- |
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件6 t, I! t3 i U: V8 `
) Q. t2 r+ U/ P( }2 r! d
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡