|
|
1.如何让asp脚本以system权限运行?
( M4 ]1 J7 h4 P6 D( s$ n# J# v9 y" [7 W8 Y
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
6 p" k3 V- m* u" h
' ]& G- j8 O4 h2.如何防止asp木马?, ?' W/ M% W# m1 D
3 B: M; b% Z) y2 Z4 n
基于FileSystemObject组件的asp木马. @' l( Y$ b" ^, G# _
$ |3 m3 T& |" Q$ M& t
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用+ g+ Q- c% h) m6 d
% \4 n: {" f* u8 {( W) I3 G& vregsvr32 scrrun.dll /u /s //删除
7 z: i Y2 B0 x/ P4 ]$ ^6 ]' Y, E' Q3 x g9 N+ S# a6 H
基于shell.application组件的asp木马
4 g! t, J J- c) C3 f, K! p }7 H0 d
. O- l0 @+ k* C6 ?cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
0 A* U0 p& Q- `. x. e: R6 q9 D% Q. {1 {8 O+ X
regsvr32 shell32.dll /u /s //删除
" U9 O( f9 X8 J; l2 x1 a4 Q' P2 G/ Y! e+ n) g( X
3.如何加密asp文件?
; g: B4 h( d* V- Z, B
/ p" V0 [! n: D h" S3 A% Y从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
' b; b+ t6 a8 z) u7 \ H9 Y Q
1 Z: d6 ]6 A: ^) R) l c安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
) s: n) [+ S3 p G- [, |7 L" R8 v
6 j, b$ ^$ b( H运行screnc - l vbscript source.asp destination.asp
9 Q+ \5 T* A1 [! h o1 g( C4 h- f G2 U- |
生成包含密文ASP脚本的新文件destination.asp
. O0 M) W( R1 O! m+ ?1 U+ n2 n( I3 a ^" P5 e2 T
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
! M# ?) ~4 z; ?6 Z" E9 l! P5 F5 P7 i6 P: z
但无法加密中文。( S2 Y1 F* ~% Q. R3 P
9 h' \0 M' F! p4.如何从IISLockdown中提取urlscan?# u& I+ T1 B! f" } T$ ^
, v2 I% g8 [& X6 u
iislockd.exe /q /c /t:c:\urlscan4 h, D% \5 H; R+ S1 }: R) s
3 L4 q2 z: e% b: W$ P) j& b
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?* a% s( ^8 ^3 k) e9 Z& }
) T4 r& K! U9 {
执行( U% H/ B& i% V) `3 q- k- K# p1 D
5 c/ _5 n1 N) Z: [; ^cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
) t0 Y+ A! K. t. F& I
1 m c; m6 X8 e: z" i6 V/ G. q最后需要重新启动iis' P: E9 Z: Z: ~
" g& {7 f# V# Y" X% p
6.如何解决HTTP500内部错误?! p+ ^- Y# @$ d, Q" j
5 w+ [7 H* e( N! g b# ?' S
iis http500内部错误大部分原因
' K0 T* P) |( J- x5 A6 ]
- B" \' Z# c) @% r& m3 v% R主要是由于iwam账号的密码不同步造成的。# x+ k- E6 x3 a
. w" m: W. T3 f/ d# R+ w* N我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。& P8 a ^4 j: s5 g5 c
7 R. A/ L2 R- s [) V& u执行
7 H4 ?) R" U/ n |( H4 T9 V r( u
; F' O1 e5 j: e, [# G wcscript c:\inetpub\adminscripts\synciwam.vbs -v
9 a0 K9 [& O: \8 P$ F
0 i" T+ _% @7 G& ]7 l- B6 F7.如何增强iis防御SYN Flood的能力?9 ~* q3 g# u( ?2 ]! E* w% n
( L: a( L" }7 u7 RWindows Registry Editor Version 5.00+ Q+ o% V% R9 o6 r$ _5 i
7 U2 y, h% |+ ~* G
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]+ g7 M9 q: \# ^4 V
( y; s9 F" X6 N7 V% @6 g( ^
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
c% l* a0 n" ^9 B
# I, n; \. U; @* f# y安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
, o( F2 {) p$ ?% d! A1 E9 v/ J
: r- a( o& U$ J8 v2 H: y; i设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。7 j# {4 V4 H! l6 s
, t1 t; H' S9 k/ |' W% j
"SynAttackProtect"=dword:00000002. P# H- K; q0 @; Q2 n4 Y/ h
/ n6 X% n" b4 {- D( y! p$ n- u
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
( ]7 R3 b. M6 f/ Y& y5 Y; c! L$ h) a
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
& ^ H, C& ?4 g* ? b& @: C* ?# y' d" d, Y: \" {
"TcpMaxHalfOpen"=dword:00000064
% e% \( o7 e% i1 }
- h3 `6 F+ B \/ d8 z判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。: a' ]8 k$ m/ O' g7 y% M+ r
* L/ s' h2 M, O" i& p
"TcpMaxHalfOpenRetried"=dword:00000050
0 j* N( P/ G( u S) F) D" Z9 J
6 {; D3 L: F( q% X3 p设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。- d4 @+ P+ _/ O( S }: s A% G
2 p- d) q, V9 [* q R
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。* Q5 k9 A/ T( p9 u% G9 K# t
' i+ i) _& J. H, o+ B) C
微软站点安全推荐为2。
" o4 }% d! j3 A* S" j& K0 Q
( W4 G; @4 q6 T- s% N"TcpMaxConnectResponseRetransmissions"=dword:00000001% h6 X/ b2 q* X# {$ O2 j/ V! g
1 A- R, v9 C6 a9 o" u设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。. F0 P3 Y0 u6 t+ D9 U5 e5 x
; L, D5 A9 [3 s% D& n"TcpMaxDataRetransmissions"=dword:00000003
8 A7 c- g5 }5 s$ M4 w/ o4 Z1 \5 F& v) W$ T S& P7 ?
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。. ]5 X7 @+ p, V
1 O7 E. m s) W& d
"TCPMaxPortsExhausted"=dword:00000005
c4 G* }: w% j; M$ c. i" F. F5 O4 q) {) C( Y
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
9 Z. }' r# j9 W0 @, p+ q/ K1 a& e f
源路由包,微软站点安全推荐为2。6 Z! z5 B5 w& N* T2 |
# w3 J% |+ F$ z6 J) V" p, w0 N"DisableIPSourceRouting"=dword:00000029 Q; q7 x$ ?3 `: b( c, f% ~* ~
; y* O# ~/ v7 C4 I6 [: |0 W( v, q9 a* m1 x限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。5 M8 w: m+ j# T& F7 D' }
$ Q$ z: o/ i9 K3 o' A
"TcpTimedWaitDelay"=dword:0000001e0 U1 } X+ V [9 Z. t8 D
1 }8 F& s( g3 w8 O/ q( i8.如何避免*mdb文件被下载?) Z7 C" n# K- Y. W7 R
$ K' N* D/ d2 w- X( u( _; D I. E3 f9 h安装ms发布的urlscan工具,可以从根本上解决这个问题。
2 a6 N: I( r+ p$ v2 }; F+ b4 c. ~! x) L$ F
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
0 Q3 m5 x' k; G# x( i0 O* d0 r) [, |! |
9.如何让iis的最小ntfs权限运行?
0 \4 F! p9 I4 n- S; l4 B8 y c- j+ J- d6 W' t! x/ J5 c# q e
依次做下面的工作:
/ v- y6 P9 z5 H. P0 R+ z) `; e0 }& H( S8 \ \9 _5 e
a.选取整个硬盘:
3 G+ u+ N& b: z$ {: u. |. u
7 M$ B& ?) [! V; |3 r- x$ b3 aystem:完全控制
: N2 X7 e6 x/ |# j1 b2 Y4 m! A7 I3 E2 {! L- P2 N# N/ Q: ^- b% p" {
administrator:完全控制- h2 Z+ |4 Q4 q. `' ~5 E1 i6 M2 P
% a8 s& K4 p% i+ }$ ?(允许将来自父系的可继承性权限传播给对象)
, l/ A/ V5 P K! \& p
) b! F. u4 x8 R3 K. H8 y( ?/ @.\program files\common files:
9 o8 X0 L2 I' v* [8 r8 B' a0 V0 \$ Q) o. |, o; R/ V$ B( L5 K
everyone:读取及运行
, F. `3 r% P% i( h1 V; }% o0 H2 M# O/ J7 O- x
列出文件目录
( D6 O7 i- W" B: W, Y
" ]) `; W4 q) {8 M+ u读取
2 ]$ K8 E2 C6 ^# S F( \2 T7 }. o4 @+ G- C0 M
(允许将来自父系的可继承性权限传播给对象)9 v) _/ ^; D2 t8 Y; F
, e$ o3 m$ |& N. b
c.\inetpub\wwwroot:
) r" C5 ?4 Q) y( A' D0 _" _2 y0 _# p% i4 T/ y$ k# h
iusr_machine:读取及运行
" t2 p$ h8 _# s0 ^+ Y
. @7 M3 c! x C( y8 g+ D9 P列出文件目录* o( _+ ?7 C% L+ I9 V/ G
& s" V% v+ e6 t/ o0 b
读取) R6 d/ t* X/ R5 f, f) ~
1 G* c- ?; Z* c8 O5 R' b(允许将来自父系的可继承性权限传播给对象)! B% ~+ R: D$ ]# t4 I$ B6 U
/ v- }$ m4 V8 Pe.\winnt\system32:
" A+ H# C, c& Y9 z( e7 T! ]5 a, v. \5 i; N# B
选择除inetsrv和centsrv以外的所有目录,* V7 ~1 D4 H. v) u1 j) G
: @, r) q7 J) l0 ?+ u5 p
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& N" m) Y* t7 P
9 v3 [( h5 f$ u @. af.\winnt:- f3 B% V. h( Z
% E$ g- M+ c& Y, [1 ~4 i1 g选择除了downloaded program files、help、iis temporary compressed files、
" I8 B9 Y* Y9 m6 m' S; S: k* w' `+ e3 X2 ?- f& ]+ M8 G, ^
offline web pages、system32、tasks、temp、web以外的所有目录
2 Q3 O" p! B* E/ L0 v4 L# \/ X: c) W f" k' |; ?3 ?; Q# u! b% F
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 T9 w6 N; i( t' {! |
+ U5 {' ?4 _1 T0 I$ b6 D: s5 cg.\winnt:' s+ y: M$ [2 X3 ~6 }
$ M- s' z6 N/ t' q0 o
everyone:读取及运行* O$ Y6 _' f6 G7 Z
- e! ]4 }8 {- f: y- p9 M2 j m列出文件目录
K8 K" l5 B# N8 v0 i7 j! ?
1 I s/ C3 J' O( a" j& J7 D; x读取(允许将来自父系的可继承性权限传播给对象)
+ r4 B$ x' O$ Y7 R
y4 z" j8 ?7 N G1 }h.\winnt\temp (允许访问数据库并显示在asp页面上)
2 U# B: H4 p" v# {, R" @; c( Q+ \- D7 n' {% _! i& l) a4 t2 |" Q; w
everyone:修改7 }. W h$ L, A. I G1 \8 r
3 d5 Q M% q8 V' E; k: @(允许将来自父系的可继承性权限传播给对象)4 \2 R; ]1 u8 ^$ ]5 x) p0 U& q; z1 d4 `
9 D9 }3 k7 K3 ?; J; b
10.如何隐藏iis版本?8 v: A0 R+ }4 ?+ v' ]: E
. O" ]" p0 h% e2 |; Q: ?' i8 e7 Q8 R
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 U# g: |" u ~2 \& d! _) o; _
5 X0 a0 J0 m7 i% t' _iis存放IIS BANNER的所对应的dll文件如下:5 ^' w- T- S$ X! _
# I6 \* z& h# M" V k
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
2 f; U, _( a R% ]
5 L- n: I( P" m0 J* }, u' z( ]FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL$ o8 f# ^. M. K+ E9 I6 Q8 s# Z; U
7 W2 f2 O/ u5 ^5 Y
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL" z; m" t( l; ~ x Q C
c+ P" L5 K5 ?$ t( N/ R/ C: U0 t
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
& q: P' v, l+ P# J
% }" M1 D l" ^% I具体过程如下:
. I+ I( N% R7 m$ P8 O. P, ~& r: y8 c- W% C1 \& _: n
1.停掉iis iisreset /stop( \' x v& O) _! V) |# I" } k& G
/ R( ^3 Q. r5 q4 o) I2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
' b( R% K/ Q+ E5 J
$ O% X s! e& M" `' D$ E3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡