|
|
1.如何让asp脚本以system权限运行?- c, J* r7 L! h
4 R/ a$ L+ C6 ?' b: p
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....# c: ]6 V& y' x/ r! t
* Q" k( E3 ^5 Y% G2.如何防止asp木马?
( V1 Y7 @6 s' U! C6 E. l7 B7 x5 E/ _; i4 v, h( c+ ], Y2 N4 t5 G# c
基于FileSystemObject组件的asp木马
; ^; t/ D0 ?: f2 j3 V: g; {0 Y
6 O7 X K4 T3 U. Ycacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用" Q# w: f: t4 W( I* W
& k( ^* O# q/ S9 H! c2 R
regsvr32 scrrun.dll /u /s //删除
9 T/ M; U9 K2 m" {6 D @/ P2 h& q! ^7 S( K' C3 \) {1 u+ ~0 w9 z: O
基于shell.application组件的asp木马
3 D% K$ w& M# X4 ~4 T" O+ Q2 ~3 Z
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用4 R! o+ c( [$ O" n) d" m
4 B6 o" X1 C* m; c; h( @# j
regsvr32 shell32.dll /u /s //删除
9 I5 O4 M; R$ }$ W7 V8 A- F
5 ?. @$ ^/ U" P+ @, B' w- |3.如何加密asp文件?
" M$ U2 X+ ^; G9 ?$ Y2 F8 H9 j$ ~1 Z; k
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。1 \1 x4 f \, I0 k& [) |
. w1 \' x3 _7 U2 E
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。/ N' A) ]2 |+ V
% n ?* q' Z9 P/ @6 ^6 p
运行screnc - l vbscript source.asp destination.asp- k1 Z! C' y) `! U( M6 F* x
2 f& {4 T6 ]. K) o* v2 A5 K生成包含密文ASP脚本的新文件destination.asp
6 L ]- M4 k' h+ S7 v% d
c2 X9 R! A4 l0 i+ K, B& X用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( Z8 }" F/ z- K5 n* p0 w% \
+ p/ H. A N9 e p但无法加密中文。
: O& m1 R- Y1 x! S& O/ {9 Q4 c! R' n# ?) Z1 [6 u; f
4.如何从IISLockdown中提取urlscan?
* ^4 z- e) o8 {( Z5 p# ]" `6 P+ k! H* R1 V
iislockd.exe /q /c /t:c:\urlscan
5 T% W% I) ]( } y. ]- M0 ^ D% R/ W' S, o
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?8 f/ U/ C# o" r& w0 s
4 q- z+ v w; M1 T+ K! Q执行4 \" b1 A! u- s" ]
* O" m2 {& G5 vcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
/ h& M# K$ {+ @) Q+ s: K
0 A& P( ^ |/ R6 ~3 E* R最后需要重新启动iis! @5 Y& G( [' ] W S
8 K; w& \$ Y, w
6.如何解决HTTP500内部错误?
2 `0 y9 F7 K" Q: B5 E. c) u7 l$ l
iis http500内部错误大部分原因
/ X4 N( V8 X3 v# q% `3 u) Y
% N9 ~* {! z0 j主要是由于iwam账号的密码不同步造成的。4 t) E% i: @* Y" t- `9 y
0 `' C- X1 r9 E* c我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。* Z1 o) d7 s0 \2 [ D5 q
0 H5 J6 _) G* ~# d执行
+ b7 h' Q7 t9 b3 w
+ g: k; b5 G8 l6 O2 {7 Q% o; j& m# bcscript c:\inetpub\adminscripts\synciwam.vbs -v0 _7 b6 a* Q) f1 D/ [
$ Q% B, n0 r9 n: k) o
7.如何增强iis防御SYN Flood的能力?
, F+ d7 w# |, n) y
) ?( p/ u0 q- f* K9 |6 lWindows Registry Editor Version 5.00
" _: O8 G9 s: X/ V# J1 {3 l
6 v' \: Y% g* n4 J[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
6 |& i% s1 k& I+ @
, [: a. T2 e7 i) f. T! P# J启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后' @" i3 z$ j: s1 f( ?' Y
4 _9 ` l, R; m3 s4 a1 _安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值; O6 v/ R1 ~, J
! \! v9 U* W9 d9 Y设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。4 D5 m" w" {* b9 O8 o8 M
8 K2 u y }; l3 [* h: Y/ c" Q"SynAttackProtect"=dword:00000002: J' s3 i* ^8 J4 `: l5 i+ S
( }$ U5 o' `% [, U
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
7 U j. {* ~+ k! A$ J. g/ e$ |' S5 S* n9 _' A* x
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
' n/ V: s" u% ]1 V, H( K) ~& a9 E
"TcpMaxHalfOpen"=dword:00000064
; S2 P6 U$ Z9 n
4 [. F. x+ F7 m+ R- a+ F5 c判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。! \! ^- p, `2 G+ m
1 w5 S* \7 p' M( [" l/ Y2 W"TcpMaxHalfOpenRetried"=dword:00000050: W I' U# s1 d+ d* R
& q" n l- n# f4 b- }7 Z
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
6 a2 [8 [" X5 f$ `6 d0 {4 V! g( E4 ?" ~! M
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。( i' e* D5 t8 R; n
# j! ^$ P7 N4 F& l) s8 f) b) `微软站点安全推荐为2。' c* Z& _6 ^7 S* b _
2 Z# ]0 Y4 e+ \ a
"TcpMaxConnectResponseRetransmissions"=dword:00000001; |8 \/ J9 i2 h2 w! S
' i2 \% u8 L! c" R) H' v1 j- ?设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。3 k H9 h0 N$ A5 t
, m' t! y( e, d8 w0 M9 ~# \"TcpMaxDataRetransmissions"=dword:00000003
- a7 |. k1 _5 u/ o9 t5 g3 z" N: v1 _# b* [
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。9 ^! A7 {/ u) B9 H2 a
4 q' E1 f' ^: f6 { U; z3 L8 l
"TCPMaxPortsExhausted"=dword:00000005
s$ Z7 @1 f1 Y: P! C% s& H2 z% d7 f* v0 d/ I2 H2 S1 q
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的- s+ d' }/ D' H+ t; C1 l# k7 }
: s" n, I- S9 P8 L6 I
源路由包,微软站点安全推荐为2。
% u, `, `2 K1 D! I# F
. F1 J2 ]9 x: `4 S% x$ u+ h"DisableIPSourceRouting"=dword:0000002& ]8 j( g: j* m9 o# x
1 Q1 n" l% c0 m) {限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
* Q$ O* K3 q* o/ V$ y1 s
3 f( C" \8 o* @0 u0 ]"TcpTimedWaitDelay"=dword:0000001e
% A8 `/ m* ^% k# d+ ~/ J
" d% p5 S* d* E8.如何避免*mdb文件被下载?
0 ~1 L6 |. O% y% q) l& _5 z* y$ f. n7 P3 G% f
安装ms发布的urlscan工具,可以从根本上解决这个问题。 ]. J1 R( n+ _$ }
3 @. s1 N' N4 r/ e! m: Q- r/ R同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。: J, W/ l/ s: @- \* J
8 ~0 P5 j2 a: {8 H2 f& o
9.如何让iis的最小ntfs权限运行?
6 p$ U! s; ~) k1 H3 F+ n. i+ ~. x7 Z
依次做下面的工作:
2 a1 \0 L' @; s& L7 a! A& E) s1 J+ P" M
a.选取整个硬盘:
# A( A( c* A; C4 F1 R
9 c/ H9 y9 O2 r( w0 n+ E+ ?ystem:完全控制1 W0 D3 Z. Z" M8 v, P
/ e6 s! i1 N0 ^0 P+ U1 N
administrator:完全控制* M1 [5 ]# b( Z9 T" A G9 y
5 `4 S8 `( w! R
(允许将来自父系的可继承性权限传播给对象); f+ H3 q: V# o" b; m6 I
. x) _6 L$ [0 x/ Q. e" c; Q1 l
.\program files\common files:
3 o0 d: X- G1 g1 O% L$ O
7 K, g0 A* j( q& n1 ^everyone:读取及运行
. H: T3 a# U0 V7 D8 l$ p+ q$ c$ y8 h7 L/ Z
列出文件目录3 t" a) H5 y$ F0 l% f
, r6 z8 B i' ~5 z
读取7 P2 w/ c% w& R5 H+ c
) U5 I5 Q- B: D: `' _(允许将来自父系的可继承性权限传播给对象)" f; ?- u6 K5 z, C8 `
% m0 ~+ Y( e5 d' i$ O
c.\inetpub\wwwroot:& n2 @5 L( ]- Z
, B' v& {% y2 D! Jiusr_machine:读取及运行: H! T* d1 Q: V s9 T
% r/ ]( @- p: J
列出文件目录
0 {" G$ w3 Y& g% s3 C% B3 K0 C
4 l3 o) ~* C: J) j读取+ @- W" @ k" u0 a0 v# D, A
# ^$ r1 ?. w* F* m. i(允许将来自父系的可继承性权限传播给对象)
# W4 n" K5 U3 x, @6 B2 U% j* ]% E, m3 h7 {7 T5 y9 H
e.\winnt\system32: S3 W' v3 B8 }4 D; e& K
5 z7 y' X6 _/ G; v8 D& x/ v
选择除inetsrv和centsrv以外的所有目录,0 C6 _6 `* w9 L) s
8 H3 o' K: i3 _# r去除“允许将来自父系的可继承性权限传播给对象”选框,复制。% J+ G' r. a2 s* e
: @# _6 l' i- f0 e6 Of.\winnt:
2 f+ e6 T' U1 J9 s5 q5 I$ Q4 S( ~& e* l
选择除了downloaded program files、help、iis temporary compressed files、
1 L/ H7 ?- ]: |& I/ |1 j+ d' B
) l- V; n7 F. p' ^9 S3 I) ?" I2 ?offline web pages、system32、tasks、temp、web以外的所有目录6 j. E9 V* O4 f6 f6 s+ y0 f& p
+ W- v0 Q( v1 ^7 f1 b% Y' |0 e去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 m0 E* m3 L) m V! k& ?( d: V7 `
! J L& g! k7 h$ h: t" gg.\winnt:: M0 `9 R( }% K8 @1 {
9 b7 X% q4 b4 deveryone:读取及运行
# v& f& u$ X5 ~) V" f: m
1 g3 [# E3 r6 a% f4 I. w: |/ P列出文件目录
! m% f; Q9 }0 Y; F u' ~! {2 e: f5 F- N N' v# p7 j; ^2 o, U1 C5 M
读取(允许将来自父系的可继承性权限传播给对象)/ \+ E. I' X9 Q2 A0 e
: q' P) o# `# V- W
h.\winnt\temp (允许访问数据库并显示在asp页面上)
, e( U G/ e4 W& h, n6 [( P: e$ a5 h- |! Z& T* r1 Z, u ~ f
everyone:修改
7 \' d2 x) G5 ?- a) P) [5 I2 `, {! I W* I& i
(允许将来自父系的可继承性权限传播给对象)/ J( K0 e5 |) X! e4 S% z' u
- H/ m s, F2 X2 i
10.如何隐藏iis版本?& ^: F; ^# R: K; X
) S2 ], z7 o& j+ _9 `$ X* A4 \
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息, J. }8 j0 I4 r+ o
- l9 N3 m) K1 s- p, O: j0 kiis存放IIS BANNER的所对应的dll文件如下:
+ u) C6 v6 F z# B$ Y" o \; N/ F
a4 j/ C6 ~0 W8 P+ Q6 kWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
2 W# U7 w" b+ m" j, A+ R* Y
# \! s% R: D) `+ t# oFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
6 H) ~- x7 h, ^2 g$ q0 p
9 I& w i7 i" Z4 V9 A1 JSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL. i) Y+ ]+ u4 d G8 K; g
4 f5 d# z. q/ N+ \* W S你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
% }- v- o& G9 d% _4 g4 J$ i P
, {* C" a5 _9 y F3 |% s具体过程如下:2 Z( y2 ]# p8 }! S7 D+ Y/ Y- |3 D& F
8 r8 W" ^, x( w* w M
1.停掉iis iisreset /stop# j( o8 d+ [: q) v8 n
, O% q0 ^/ F) W O7 R1 `# O2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件5 t; G$ u) W3 k" H0 j( F
1 T+ U& f2 A+ ^9 x3 b* @" f! ^
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡