|
|
1.如何让asp脚本以system权限运行?8 W* G: R3 l9 I
* n9 V& ` K& z! S5 D. p% A% w/ V修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....* T* T9 r2 ?& F! t4 g1 C4 {
1 y$ ~2 m5 s- D0 b8 y' p
2.如何防止asp木马?
0 k5 `, n6 k( `, _5 C6 h
4 s7 k% W* E3 z基于FileSystemObject组件的asp木马
- H% o* r, [1 c8 A5 P$ g* M3 ~2 n) c! v- F! Z
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
5 \8 Y0 p) m) L f) m5 V
, C: {: K9 N8 |regsvr32 scrrun.dll /u /s //删除2 v' Z( j3 X* i! K
$ S4 d7 x: @* u
基于shell.application组件的asp木马
+ R2 O$ _* w6 j, V% w# k$ {: U+ O4 \; J
& r2 }* e; F, r2 }! k8 @) Dcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用3 D, W1 \1 Z& C8 N; e8 d1 i
3 E/ e& o1 Z+ o B% S: gregsvr32 shell32.dll /u /s //删除
% U9 J* L! F- J' u. ?
" f7 s3 x; s, f, Y% d9 b1 B) f1 l3.如何加密asp文件?
4 G% H2 I4 f# e6 ?/ C: N( }% d6 G" t! {8 t% @3 y
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
, I0 h5 [% R8 t6 q$ Z8 {. m4 M
% F/ f7 s& ^5 k" {, o+ r* A安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
% n* |3 C" \" |, \7 e9 b j% e; e5 o; b+ H, W, l4 e& B
运行screnc - l vbscript source.asp destination.asp
3 I4 C' b% M4 I ~, [2 i- A
2 S3 T9 X! w& ^ w% R生成包含密文ASP脚本的新文件destination.asp
0 w( X6 l4 J2 I7 p: A5 `
: {8 {1 g7 V: ]+ D+ @' b7 `' x用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了$ ]- i7 h+ n0 C8 F0 r
8 P* } o- ^, G7 N* O但无法加密中文。
; h$ L) S, G, F2 A; j Q6 b# f8 P1 t# K
4.如何从IISLockdown中提取urlscan?
5 d/ U- r& J) C- `2 ]( D U0 Q5 q
5 U9 ^/ i' ?) c( V1 Liislockd.exe /q /c /t:c:\urlscan$ h$ `" e$ W, D
8 d" x( j) `. G0 m( }
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
- T. E; r; g0 t8 M: p c' W) b* C6 {. D. e2 y- T
执行; ^8 F$ }+ T! H" C u
& B2 J$ M' Y& bcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
% @' D- {7 p# n/ S! A k; ]+ J* {0 X5 V
最后需要重新启动iis
# C# a- U4 S/ ~; Y- W. t4 W1 K! K& E
6.如何解决HTTP500内部错误?8 p+ l4 `! k) f k) t9 D
, X; T) T, n* O2 |iis http500内部错误大部分原因
r+ \# \6 N" {: g% b# t+ c3 _, E. r! R% s+ M) J9 d
主要是由于iwam账号的密码不同步造成的。& L" \9 ^; e6 L' m5 Y# X- Y5 I
9 n6 ]. h: Q( h3 j! L我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。) u3 g7 e, G3 L( _& v( E
5 }( S+ f7 |% K( p# [执行# e7 j* I+ J+ k
" ~& B y5 W7 ?: [" P7 qcscript c:\inetpub\adminscripts\synciwam.vbs -v" N( u' I. M) }% @
; _/ ?( I% q1 M7.如何增强iis防御SYN Flood的能力?
/ Y* C3 o- K2 b8 E8 M$ O* T5 A
0 r" h! J7 T% i: x: ~1 aWindows Registry Editor Version 5.001 h" U' N6 M2 \& M
2 O3 ~8 ~: m! d4 e* q7 H! U
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]- p. _/ j) h# M, U4 F' q# D/ x
6 S8 S$ F( J0 H% M9 G, i
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后8 K w9 o' D6 L" L" b/ J6 k
! y' ^0 ]+ o$ T1 b
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
- l" U* b% ^7 n( ~
* I9 s7 |" d8 \+ W: S& H! D设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。/ ~0 D( E8 @# Y P4 R$ U) e2 I
. l/ J s4 C3 p8 g5 u. a2 R% C6 P"SynAttackProtect"=dword:00000002/ }% \ Z/ c. m E
: o% `1 i7 Q* x4 d, s2 U5 a; _同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
6 N6 f( J% Q7 o8 Z' T$ q0 P' V5 a. C! k0 O. n; \& H/ w) A ]
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
( A7 w( X/ W9 T& |; Z$ x" ?" Y- }& S, Q$ G
"TcpMaxHalfOpen"=dword:00000064$ R2 r8 m2 y1 I5 b& q
+ O9 h0 j0 a% \5 D判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。5 a4 U6 \$ c/ @: M
1 n* z5 V' F2 a" k" W
"TcpMaxHalfOpenRetried"=dword:00000050
6 e6 b/ V( V! @* c* I4 \' A0 N% X; ^* t7 j% n/ J% Q4 b& w, j
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。8 a5 `6 E) s3 ^8 f& L* ?
4 N y/ V/ b ^/ u6 x0 G6 e
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。, t8 U6 n" _2 X4 ~5 r( h C
5 t& j/ g' \1 J o8 @微软站点安全推荐为2。
& s- q$ J& A2 N1 r, n P4 w& \) P2 L. A f' N1 s5 ~& C7 M
"TcpMaxConnectResponseRetransmissions"=dword:00000001
9 s, n K) N4 A2 P& s' f. g" b# H# G9 E6 C( ^
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。& ?* \) M& C9 R8 g' d( I! \
! w" ?% Z0 K& F2 p( c* q"TcpMaxDataRetransmissions"=dword:00000003
9 J+ w8 V1 G1 Z0 m0 m8 J- s: ?$ s0 h1 g. w3 p& j
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
0 C1 E+ H& Z) T) n$ S- C; `! H' L( ?+ t7 P# _
"TCPMaxPortsExhausted"=dword:00000005
6 o' @$ i7 d3 S. f+ @- p, T& e2 P: t9 Z6 d8 J8 d" J6 A
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的' J# v3 D- ~8 r% D X) ?4 k
1 `6 E4 L7 Y( j5 @/ c源路由包,微软站点安全推荐为2。
/ Y, m v5 \2 ^8 A/ X( k+ M+ F1 B
+ n( B' }7 o$ E! S/ o& v"DisableIPSourceRouting"=dword:00000029 h) E& E4 k/ g5 d& [; s9 K
5 ~6 {2 O5 S- R4 {. O
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。) |) E: _, G6 f, b% K7 N! @# u7 }
0 z# v( F- L$ h; Q"TcpTimedWaitDelay"=dword:0000001e4 S/ \+ l: L) r
# ]* t. H" u+ o8 y* z8.如何避免*mdb文件被下载?& h5 ~5 R: { M! S" l8 |8 k- j
% L% S( P8 ]8 P( A9 S" r: s安装ms发布的urlscan工具,可以从根本上解决这个问题。
- O1 I9 J$ o" I9 x) I* U/ a* L& R: K! u/ `
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。2 Y! {& x/ N1 @8 Q& n6 [! R/ x
7 B- U7 Q" ]) j) z" L9 O3 F9.如何让iis的最小ntfs权限运行?5 `5 m9 @: K; \+ p1 u" C i6 n; u B
, o; m6 I0 M" t- h3 U+ x
依次做下面的工作:
& v! F! H4 k/ t3 `
' B4 f( z9 e/ ?3 P2 v) M" q( `( Ua.选取整个硬盘:7 x+ _( G. O8 P+ h+ O! |
* h# x- ]* m8 J Z% d' Wystem:完全控制5 o1 B: S# p( n" M9 s: Y
9 q- e# R2 {8 _" }
administrator:完全控制8 Z2 A; J+ K* U& V
- ~* a* v; ?$ E' U
(允许将来自父系的可继承性权限传播给对象)/ V2 D/ m7 Q) u- i
4 b& F# F+ L* z
.\program files\common files:
9 [+ i! e/ b- ?& I" ~, T4 I) ]% e9 b# a' O1 R( e. Q! ?& g5 ?' }. c
everyone:读取及运行
/ B7 h. }& t5 a S. K
& D; l( Z+ M) ~: Q5 |$ H5 f0 q列出文件目录: Y6 N) E# n% s3 X0 t) O& i V
+ i4 Y6 M7 D' A4 T+ ?0 \( f( W0 J* ]
读取
^2 j7 r# Z( Q2 i5 ^6 ?# o v( D" J+ U5 a; J* U
(允许将来自父系的可继承性权限传播给对象)
/ ^( ^3 ~, W0 o! D: E
9 b% l- I1 V. T' \1 r+ {c.\inetpub\wwwroot:# `4 M# ]/ u9 n2 X
5 u' {' k/ ?( O: ^
iusr_machine:读取及运行
8 i) f0 V7 Y- r/ `+ A: [: c Y$ u% b$ A7 f% {
列出文件目录- X3 L* U4 M T3 h: A! q% @$ T
! E$ u/ t# |- O6 G& J2 k9 l
读取" f. J( K7 V- G9 i7 a' d
& h! B6 u2 V4 x# [0 J(允许将来自父系的可继承性权限传播给对象)
4 ?) B. O9 j4 o; F% K* n% t( V9 [, V8 N4 S' q2 d
e.\winnt\system32:
- y7 b+ t+ |1 O4 B' ~$ l
/ f3 V. {( T6 L0 _选择除inetsrv和centsrv以外的所有目录,
' G/ I7 B' [+ F
* J7 e# K }& S4 H" J9 {去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
3 F* J3 K; u# \2 e; \
4 o" x- N7 E& Y0 q+ G+ Vf.\winnt:
3 o3 l) M: M ?+ |+ q* {6 {
2 V E4 o" D& [ K7 S% f" L选择除了downloaded program files、help、iis temporary compressed files、8 c9 r W+ Z- W- p; a% k% o% E
5 ~1 a3 k! R7 V
offline web pages、system32、tasks、temp、web以外的所有目录
" l( \3 m" {- v$ f/ `; c
T% F( i4 u+ ~$ ]! K去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 }$ `2 z) p" A# L( f
+ N/ P2 ^- c' V; }3 ^
g.\winnt:3 F/ t9 g3 ~! I: I3 e8 V
: M! Y; l! z0 q3 ueveryone:读取及运行
, Z, s9 w' o" d
% T. X' p8 R% u9 p# a& Q列出文件目录
+ N$ j/ b; S# u6 z% O: F3 \9 L9 O8 D: N; e% H, }
读取(允许将来自父系的可继承性权限传播给对象)! U7 ?! k& |9 \2 D+ E
5 S+ O9 [- B2 w, O: xh.\winnt\temp (允许访问数据库并显示在asp页面上)1 t0 _9 D1 p3 w. V5 F0 Q
% G+ O. i( Q2 d/ X( m, b/ B9 V
everyone:修改
) w% J6 M' N3 `
$ T5 f# s$ m% s$ V- Z9 n" s& j6 x(允许将来自父系的可继承性权限传播给对象)2 g) i$ y0 l8 O! k/ H* f$ m
# x3 ~# L* A% y' u
10.如何隐藏iis版本?% f" E' N6 [" [$ E* A: j4 y9 @2 A
2 j8 O* x- _+ b0 ~: G" E
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 i* S1 w. V, _5 z9 d! S- Z# E F# E ]: ~ V8 d
iis存放IIS BANNER的所对应的dll文件如下:3 D L( K$ k" W0 f/ n
& [2 Q3 q. e; B- F% M& _* C1 a
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
( i. L" z* V3 f, _
: c4 F4 v0 V. W4 D9 d: HFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL( p9 {; x( M% ^
& }: R( b- |& n! X0 v# A
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL# P B9 e% h7 J0 B$ [8 G6 u
0 c1 \& Q8 ]* M2 i+ w& k
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0) w8 J4 d/ ^. h, R7 B7 N5 |; R
# h4 o( O7 r3 q4 v; s* `/ L7 s具体过程如下:+ _* M" G- D7 f6 o* y
& V' L$ K! i5 y) z# q
1.停掉iis iisreset /stop
( N/ Z/ G' W' X9 |" g* Y6 a/ C3 q# ?( K
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件& D+ B/ C" O. N# k6 ~& l
1 Q. `$ f4 {+ e7 |1 P
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡