|
|
1.如何让asp脚本以system权限运行?
8 a1 u) i# V+ q" J1 r1 l: o
% A' g! l9 s8 c9 J/ P5 Z5 @修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....3 l$ m y5 c. A5 y6 O3 [, O6 \
# @ x7 K6 H3 |& }5 d
2.如何防止asp木马?
$ P" z3 R7 @; O+ z! @; D0 H! j9 ]/ a: M8 r) h# P
基于FileSystemObject组件的asp木马3 P/ r p! M0 S- K, a# f H
. f3 ~* n$ ]1 `8 _! q7 Y9 o
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
) @2 u4 O* K$ m. l- h) B
" F" z& F7 l% o# a2 x8 f' g. k3 Rregsvr32 scrrun.dll /u /s //删除
% Y- n2 X$ K, f8 }4 w) w
8 r3 u; ^! {$ ~% c基于shell.application组件的asp木马
" g/ n" u6 E& X" v' f7 o2 a3 ^
3 I* E- [5 s& v' Zcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 B8 o# v# x1 ]' V
G3 z- Q4 k' G. `) G8 rregsvr32 shell32.dll /u /s //删除! w. ]( j% ]9 S( F3 [, g+ B6 M% v5 q
3 S0 R1 G+ H2 B3.如何加密asp文件?1 z2 R. i4 W/ j' U; J: d
( F) ~" l4 _) S8 @' ]8 B; b从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
5 w& e3 t( Y- ~6 f$ Z
4 a. S/ F5 T( X安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
3 ]7 W0 D1 p& o
, V* |% E, B$ w; `; a6 C8 {运行screnc - l vbscript source.asp destination.asp
4 i# `7 o8 ]6 \2 Q
( N5 _) k" ]0 n6 ]5 w生成包含密文ASP脚本的新文件destination.asp* u7 Y v; a. q3 C; E
3 _) I: B. o" B0 D) {
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了7 p, j" ~3 a8 ?* H
; Q8 y( c0 L& c
但无法加密中文。) A9 a5 b$ }7 t
; j. R- p1 F% B; p* ?: Q4.如何从IISLockdown中提取urlscan?. i8 b6 T7 p+ }/ j/ u$ _. c j! j
K3 j1 z" I3 c$ n
iislockd.exe /q /c /t:c:\urlscan4 H8 F/ P6 I2 k- h- r7 \( k' w
' E4 `# b+ _( `) ?+ T4 Y6 V5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
4 P: a. i" N% Y. @% B1 Z* |2 q P$ {7 }, Y$ X
执行
$ X! X7 i. t! ]" _' B8 o* F- G
' C0 ~6 j! k4 b% ^& H9 Scscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
n6 f/ v, @7 B5 I. B4 r' f# U, B4 R/ F' E k K
最后需要重新启动iis: _4 {# K5 _( i1 G# T% X
1 t& Q3 L C6 e5 _- H# S6.如何解决HTTP500内部错误?8 p0 ^8 P* C+ W4 ?4 U5 ?& ~8 f
/ Q/ F/ [6 K& niis http500内部错误大部分原因
. Z' }) Y+ p" {" S) L1 R, d" A0 c: M* B; q
主要是由于iwam账号的密码不同步造成的。( y" Z# Z4 O! y# s4 f
# U z; a# v T. \$ U S0 _
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。( ^/ j, b' P5 y0 s7 \
9 e ]8 A$ t( E4 Q P6 s* h0 y执行+ a) Z. v, c: G9 c
5 c7 C3 D8 ?/ O$ ^3 i; E- f
cscript c:\inetpub\adminscripts\synciwam.vbs -v
9 \$ C+ [ ~" b/ A6 V
1 Q# M- S5 k. N; ?0 x' ?+ V7.如何增强iis防御SYN Flood的能力?' J# F$ c! p5 c) ^$ c8 W0 a
( m; q. X6 ~+ @( d' Z9 S. oWindows Registry Editor Version 5.00
1 ^0 E( L6 D6 x5 x Z: d7 Q, v; \6 Q1 t
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
$ Q1 k3 O4 f" N9 o: L7 Z8 B8 s
) X% g) i! q ]$ i启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
/ ^ [' Z$ w. m7 x! T; A
5 ~( e- X6 w* I- h7 o, C安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
- t5 i2 C N/ u+ ]% [- l* M1 l
/ P! t) Q/ _& ~+ [& }4 s5 J# @设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。) P; Y L! T; M" u- ?- m
3 Z# n! w2 c3 O \"SynAttackProtect"=dword:00000002
* d8 G2 |, _! h3 x0 ]% O7 d+ R* R: o7 \( w% Z* T7 y) ~
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态$ g# @# a& O& X4 v
2 w6 c+ @% u: W$ h4 t3 d7 Y6 P+ E
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
. Y! A+ Y! M) g% ]2 z4 C6 E6 M9 L
"TcpMaxHalfOpen"=dword:00000064
6 \6 m. H$ p& w+ a: f; k8 }5 n
3 v* a* C' L6 h( B' S: i* ~5 y w判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
6 i! \3 e' c0 W( [2 H) O( x9 ^$ d2 }1 _% j. ?$ Q
"TcpMaxHalfOpenRetried"=dword:00000050! _9 i7 W$ d( }( ~( |
/ m4 g/ m ?! i3 B
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
5 n0 h1 `6 C8 i0 { Z% x/ N
* \. t6 j* r$ W* @项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。! C: i+ g F* ~5 y, \
3 x9 R* U, v+ G# c Y0 P) ^微软站点安全推荐为2。
8 b; Q) y" ~' |" G1 e9 K5 O0 \/ }) a' f) M
"TcpMaxConnectResponseRetransmissions"=dword:000000019 f- }# f& g$ r; j- F3 B3 c' H* I2 S
& B2 D, P" b% h" S& R8 K6 `
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
# E3 j" j3 F/ E# K3 ]& V% a
+ g# |2 l" Y- h. i& m$ ?"TcpMaxDataRetransmissions"=dword:00000003
5 T: R7 V- H: _1 M. x6 P- w' _& o1 J- v( F9 F+ Z I
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
- W' g& M0 i; K/ |" i( m8 ?
. W S( {+ U) v4 E: H"TCPMaxPortsExhausted"=dword:00000005
' Q4 ~# w& J! r% a( u& d8 U+ o8 X, I% U
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的: z- ]! i% p% Y& A7 h9 c
; J. w# J7 e) L, F: @4 ~, [源路由包,微软站点安全推荐为2。8 @7 n/ d7 A& k; ?0 y* V
6 L. D3 b4 q/ c"DisableIPSourceRouting"=dword:0000002
' q0 c7 m. c* C$ m* Q( v4 D' \; _+ v) U6 m) `* d; r6 y
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
; z" Z; ]( U5 E/ X( b4 i0 t/ J, G$ u0 ?! p; z- z; i
"TcpTimedWaitDelay"=dword:0000001e
9 q0 J0 H# a7 R- o
7 j# b& B: S5 A8.如何避免*mdb文件被下载? d' _7 u' G3 c: M" R& j: `
7 P* A: m9 q% }' m ^, l; ?
安装ms发布的urlscan工具,可以从根本上解决这个问题。
9 u* B+ e7 X$ l5 m- K0 _5 x! N3 v8 D/ X8 n4 N) P0 V. |' L8 v/ W/ u- i
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。( v( O3 z: z/ @; U
1 b2 j2 `5 D) E4 B/ F# |: C( z
9.如何让iis的最小ntfs权限运行? _& b, F7 d' j2 r% c7 i
; N5 E- y$ Z7 t2 u; o8 K, W依次做下面的工作:
+ a% g7 G( p+ b' L$ n K' F4 o2 x* \& h9 I
a.选取整个硬盘:
& E. m0 M6 P. V: w) d& V5 h4 @8 _
ystem:完全控制
! o; b' ?5 K6 I( d" O) Q
b6 n; M5 N. A" Z6 D. k- F. ^administrator:完全控制
. p# [ ^$ x7 {' w
* o) i2 S4 n: c! H) o(允许将来自父系的可继承性权限传播给对象)8 h6 l+ u) f* p# r1 @
6 F2 S3 W* ~% \! B* v# k
.\program files\common files:- P6 ?! N) \/ t/ ]
& G2 U; D: F, Ceveryone:读取及运行
, S; E I( S- `" v/ F) O$ G, p) j! L, q& s* B2 L$ `( s' t7 O
列出文件目录
' y8 a% m1 g# \' f5 N" Z' |/ ~4 K! Z9 A% _5 I* }- _
读取
$ J, o7 ^5 D6 Q, j! e/ \* D y6 {2 f1 k4 e( |5 y* o
(允许将来自父系的可继承性权限传播给对象)% d7 U5 _: x9 J, Z! p# B
2 P. g8 A* o" D, D$ D" Z u8 m- k
c.\inetpub\wwwroot:
. d$ M0 [0 r5 u. Y0 O( V
( k7 _/ L# ?; ^& {! e6 ziusr_machine:读取及运行$ ^' g+ N9 d' F+ ?) T k
5 @. d% T h8 z+ u% p" f% o2 X列出文件目录7 q( O& g* K8 C/ E
/ J' N$ P. f9 a6 ? N6 ^: q
读取
) ]2 S) _4 k7 ?# t& K/ r$ N% C$ X+ `+ i
(允许将来自父系的可继承性权限传播给对象). S% w4 @8 m+ p7 f9 n3 b
1 N: p7 R+ L% y. ^' @7 Ze.\winnt\system32:/ P3 O% Y" j5 |! e% z
+ q# m& P" K$ R! |' Y2 K, X, H1 @
选择除inetsrv和centsrv以外的所有目录,
. a" X: N/ H" U% B+ [5 Y- m/ e4 e7 g( `5 U5 e+ F* @9 A/ L5 l. [7 V7 v0 ^5 N, O
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
) a2 i! ?% W/ F0 N/ G
! W) ]5 d8 ^; k$ H& g1 q9 _f.\winnt:
' a2 ]- {' a- R2 E# T2 _
: R7 E$ ?* ^) a# z- W6 x选择除了downloaded program files、help、iis temporary compressed files、
% |( s6 u0 [, j3 w A1 ? ^! @6 O+ v/ [9 w/ W6 u* e
offline web pages、system32、tasks、temp、web以外的所有目录
. R/ _* u" ]' @2 f4 ]
! n" P* Z- i/ ^* d去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 `5 }: q: Q. l$ u3 f7 \; l
" W' S8 i5 H# h/ @9 \7 n. B# i, |! C4 Lg.\winnt:) t# O9 f5 g6 M( Z j
( E- z( O" _2 b8 T2 u" A% Y- z
everyone:读取及运行9 F) Y% R6 H$ r
! z0 Y; M. D M8 n E) m7 d
列出文件目录
2 f6 Q+ K( h- w0 A D! m/ U3 I, J1 C- e2 {5 z0 V
读取(允许将来自父系的可继承性权限传播给对象)
1 l- k) {/ R) e8 Z- A3 |3 Z) M5 P7 B/ {# s0 ? R1 T" @8 |
h.\winnt\temp (允许访问数据库并显示在asp页面上)
d5 u/ B* L# k1 m2 |- t4 m4 |- ~: }( Z
everyone:修改0 e q: L5 v4 I5 g" w9 O
3 c* n' ^- W4 @3 i6 q: ?6 Z- L
(允许将来自父系的可继承性权限传播给对象)# H& T& e6 S2 {1 D; S- h) s
# F4 Y, m. Z2 ?# T' f5 Z! P+ t10.如何隐藏iis版本?# |& `* K# L/ C- n) x1 h, H
: m( m1 G' o- }' F/ {
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息. j) W1 M0 |0 l& j g( Q2 [5 u
# {6 I9 T; A( Aiis存放IIS BANNER的所对应的dll文件如下:4 q2 k& l; H0 j! b
1 l n$ g- m+ S, ^8 l& o* AWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL0 {9 n- n& h, H# I" {9 a
5 W7 P* d& z; O9 G9 N8 n
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL! S2 Y, D k3 f, e. A4 L
9 R' {- Q; ^! q2 xSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL$ j5 p" h% v; R& C
5 R# {# g J8 p: M你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.09 ^+ Y" N7 T. z- f
8 K+ m$ u7 j. O* A4 i* {具体过程如下:1 _+ D. f/ k) W
2 g/ t5 h7 x" m8 T' l1.停掉iis iisreset /stop; s$ ]4 P* m, X) \" i3 y' R
! D1 U3 L$ k; Z2 m/ A2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件$ u: @% p$ c9 N/ @" ~+ f$ K
; u; \6 s) Q ]. _
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡