|
|
1.如何让asp脚本以system权限运行?
2 h8 ?8 W+ Z; z) O1 v) u: O5 m4 U: H7 j% k/ y, g
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....2 @7 O4 h% t7 z, |0 v: I
( |9 w6 c3 J! O+ m2 z2.如何防止asp木马?
% X* `# j, f' h, @5 L
* U) Y* K7 }& L( D! V5 [1 {基于FileSystemObject组件的asp木马
+ d0 `5 _- h) p* S8 F7 @# [
' z1 j, h! E- m( Y k, Wcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用1 T7 e( |, ]3 E& g( X7 r
, w! R9 J. \" V" j9 `3 @4 Tregsvr32 scrrun.dll /u /s //删除
- x4 M# f8 s- k) z4 F: u/ [# B T" @: a9 H! w
基于shell.application组件的asp木马
* i6 Y/ {( |3 b5 f4 `
) Y. v' d/ v; X/ M: fcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
9 C* ^4 m8 F9 R3 K0 z7 K
: P# \0 D6 Z, U. m5 H8 _- Cregsvr32 shell32.dll /u /s //删除
! ~& U5 a! b+ x U8 Z! L- \; ?8 H* ^; L9 M; L- r% q( |
3.如何加密asp文件?' h) X1 i" u8 J; v
! @ k6 h2 C3 z. J
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
; E" |$ I, W) d6 Z/ W! I# j B) g& H% j; k- g B Z$ s1 z
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
9 C" C. i, v# f7 y3 j5 m; p% C: O' W' w9 h1 v
运行screnc - l vbscript source.asp destination.asp
, }& e2 j4 [8 B' Z0 p+ g, S, n* l+ g! B0 _7 w( o' q n
生成包含密文ASP脚本的新文件destination.asp
+ B: L/ \& _9 z1 D) r/ Q& m, W2 U# x z, w
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
6 b x( e! X1 }2 I. M8 y; g" C% `) K7 E0 c; L
但无法加密中文。3 `+ w2 ` `: K4 S5 n! r
, P! l) g4 k h8 U4.如何从IISLockdown中提取urlscan?
4 v2 |2 f# q* r! p y+ ?" h; ?, r8 e6 J4 I
iislockd.exe /q /c /t:c:\urlscan
/ `7 W! M- v0 _4 C
, j S, c. b4 W5.如何防止Content-Location标头暴露了Web服务器的内部IP地址? f+ {1 x4 l7 S0 {8 @! s# C! h
$ E* l% {4 ], R/ o- |- O0 w执行( h2 E: A# U0 z2 w2 I3 J) I" E2 W$ Z
# ^+ m% R" B M& Z# t: vcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
* O" Z L4 Z& W5 t% e7 i+ V+ Q0 a' w6 `2 d' u( v; ]! Q
最后需要重新启动iis! U( H" X2 B" w+ r5 o* n) Y0 K: I
+ W) P0 g' g- ~5 u% U6.如何解决HTTP500内部错误?
; |' p& g& p! W( O, n/ D$ L& ?$ R3 V0 u/ D, }0 Z
iis http500内部错误大部分原因
. W" O! L( b- U! ^* D0 S* }4 ~
4 f/ o$ D% b2 Z, r6 `& Q1 S主要是由于iwam账号的密码不同步造成的。
2 i/ y) A0 D6 S8 T
u4 \& C# E- G我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。, K- z' k6 a f. I. f
, h$ p8 d5 n/ v1 j) T) H
执行. H7 B9 {6 t- E9 t+ q& N
! B3 X m. s: w8 @/ H' I: e4 J: gcscript c:\inetpub\adminscripts\synciwam.vbs -v4 }2 p( K+ d4 h$ S" `
4 ^6 U; `0 X: a$ B
7.如何增强iis防御SYN Flood的能力?
! S/ f. O$ i0 r! G! J5 X1 p
2 Y# b8 l G! D4 {- aWindows Registry Editor Version 5.00$ c5 |. t8 \ t* {* l: ]# L
8 n) X; [7 s+ A* r1 y( x
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]) |' k0 S! w! A4 p- R3 e
5 H4 n1 O, O* x) P; B
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
* V, I* ~' ?" l( m8 M% v! E8 M% n( D. k* r8 F( H
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
9 {( i' z- N {8 q' n0 U0 C0 W6 i) _' E" I- |4 F* T3 E
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。7 c2 H/ v+ d+ {9 t; D$ G: |
1 Y P2 |( `) X9 @' ?2 b"SynAttackProtect"=dword:00000002 |: L* M3 Z j
8 ~" z- ^1 o" {+ u% g2 |' j- T9 _同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态* Y$ p; ? c% o9 j/ |
% m9 o* ` R3 V! M的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。0 s5 B9 N5 ^7 F, ?& `
7 B8 w4 |. i9 q6 j"TcpMaxHalfOpen"=dword:00000064; \9 j1 n% S; a) J
C% e4 H; G* {) r- R0 K判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。: W0 c6 O$ a! b6 U
7 a' H% X& m4 G" { B
"TcpMaxHalfOpenRetried"=dword:00000050
4 V0 P9 A7 v. Z/ C- d2 u, G% d9 s/ d8 q/ L5 S
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
. b4 z; c# b" @& s+ z7 V% {5 L. G* t/ h
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
0 m6 o5 J9 I% `4 k; [# E3 @
* z, R4 Y/ b. j1 `' ^3 j微软站点安全推荐为2。3 d$ Q x6 v S- S0 x8 G" _6 Q
, v% A& K( L9 \+ {) \/ \
"TcpMaxConnectResponseRetransmissions"=dword:00000001! u5 p1 v8 |6 h' S9 c# y% M$ {
! i* W( x3 Y+ x7 `/ u/ D+ s. o8 b设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。4 I) ]3 g8 ^* ?8 h# C
+ ~% G7 r+ M1 \' N e/ F9 C"TcpMaxDataRetransmissions"=dword:00000003* J- J0 a) r" ]6 z) l
" T$ M8 F. N/ H设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。4 b& t: [+ V8 O0 r
% {8 N0 P. F9 m* y"TCPMaxPortsExhausted"=dword:00000005
" x9 K3 f( b4 q) D; }$ v. c7 O5 [8 J3 }, a# U: i
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
+ K+ R' X6 B3 T$ L+ i) K
3 ]( l3 y* p- |! G# w3 K9 `- e# V源路由包,微软站点安全推荐为2。7 j* i( b7 K" L# \
i+ q/ |9 l( h i I; @: i"DisableIPSourceRouting"=dword:0000002
) G- [. O1 d- D! g3 z) ~+ Q) S" M5 V1 p; X2 ^
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。) I3 i7 x) B' Y7 y/ s
6 a$ i/ i# P, W9 r! Y( D"TcpTimedWaitDelay"=dword:0000001e
" L# e" a( t3 [4 p( w# Z
5 [& N, {5 S" U* Q, l8.如何避免*mdb文件被下载?- H) P1 J: F C/ G# B4 L' [7 o
) O9 h4 w4 Y( J% b) I5 k
安装ms发布的urlscan工具,可以从根本上解决这个问题。2 ?* \# C% ^' y/ ]
) t) V0 ~* P1 X7 k# s2 T同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
% g( t- o' C* o) @9 K! r
- a8 s2 h2 s* }# n- s3 ?7 @9.如何让iis的最小ntfs权限运行?
3 Z% y7 `2 @, W- n( J: a3 o5 O9 W/ f& X0 k' m- n
依次做下面的工作:5 f0 i; W: ?* @4 L5 O) x1 F
1 Z& h2 O' K2 i! x4 g3 E5 ^4 q
a.选取整个硬盘:
' V; |+ i0 t, K: K( O
/ b7 c& Y3 U' Eystem:完全控制9 u9 U$ e+ P* f" j; I" @
2 ]1 E5 u2 B: ~$ O! w) c6 Ladministrator:完全控制
2 d5 \+ U( {' C6 x+ ~0 z2 }; Q
$ _8 L. M7 u5 j- u(允许将来自父系的可继承性权限传播给对象)
; v0 Q6 d" [4 W2 `- T! ^
0 l# T/ i1 K- t. H Y9 W. ~* X.\program files\common files:8 v" E7 k5 G! O
o9 r' F" k8 ?& A$ `everyone:读取及运行$ m, X7 }2 h' y9 @+ f5 A0 k
9 B$ C1 e9 E x8 v, N
列出文件目录
3 m2 c- k: Q5 |# h2 C7 ?# [0 x5 F4 P) N. k9 F
读取
8 t3 x3 ~0 u- y" g8 d3 H; p
+ V% t- E/ n _6 u' P$ p, ]9 Q(允许将来自父系的可继承性权限传播给对象)/ T, Q9 O3 ?1 a+ v( r( Z
* H& n/ M) A4 u7 h
c.\inetpub\wwwroot:( T% t% C `" K: k
, f! C) U; e' n4 X/ V4 {+ N4 y
iusr_machine:读取及运行- O# i. A, f# n6 H4 O
2 Q' N9 V5 G# h' U) K列出文件目录7 Q/ Z3 }% |9 x, U5 w" G* N# G
6 m7 X' D7 Z3 c0 n" i
读取& X/ N! t5 F ^% Q+ _5 j8 G& z7 B
/ t, k# }$ B. T* t( t) H(允许将来自父系的可继承性权限传播给对象)3 J; H- |) A1 @$ W/ C4 t
6 d$ @. F4 {! \! g, K( w qe.\winnt\system32:- @' Y/ V0 @0 E& v
) u0 r2 G# r1 S% m
选择除inetsrv和centsrv以外的所有目录,
* k/ r$ K' d5 B( a8 K8 U
$ p1 Y- @0 S- \/ T" C* l" `去除“允许将来自父系的可继承性权限传播给对象”选框,复制。+ G- T: J3 l! V+ X
; |8 f; p2 Y9 J N; J& If.\winnt:
4 v5 \0 J$ @, l" M
& }3 _8 y9 e. m2 _! @选择除了downloaded program files、help、iis temporary compressed files、
0 a. Z( K- m1 n: O; ~5 U
5 h, v- x, O0 f+ v$ d8 c7 yoffline web pages、system32、tasks、temp、web以外的所有目录* A. V9 r( ]* b
. W1 s$ g# x Y0 ?去除“允许将来自父系的可继承性权限传播给对象”选框,复制。( q! A' O: i2 D3 Q
- v3 P4 z6 q1 z6 V8 xg.\winnt:
! r( l9 W3 C. k# m3 u+ c( g
. X0 I& r1 Y) @everyone:读取及运行
' m: v/ w8 t+ Y& `9 [
: L# k ?8 x3 v列出文件目录
$ O% p6 j9 X6 g$ u/ U) E }6 K% }( e
读取(允许将来自父系的可继承性权限传播给对象)
, X& w& |% x/ q! [$ q8 F8 P3 s0 @# x
h.\winnt\temp (允许访问数据库并显示在asp页面上)
# w2 N8 s$ c9 v- N4 a6 a6 K: O8 x6 s& ]% r! |$ a, {' A
everyone:修改+ h, D+ R4 G+ K# h7 X2 \ ^
) ~- u2 i0 Y3 ~2 J9 w# }, i(允许将来自父系的可继承性权限传播给对象)7 T+ O; k" U$ r$ {* |
7 k: k1 B$ J3 x# e& r; L
10.如何隐藏iis版本?- R7 b5 L" @9 d2 o
, w% q! G# t; U+ Q' ^一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息/ H+ G& l8 |! r& F% U) _/ g
3 ], B& w9 q5 s) \& xiis存放IIS BANNER的所对应的dll文件如下:
! d# w8 F" x+ C7 T6 q& L' D7 ]; X2 H, @( R! h& U/ R
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL% j+ J/ z% J" D0 u
* A# ~( I7 j* l% U1 u. a5 wFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
( P. N1 l2 w/ f3 m5 s$ H
- R9 `+ C! O4 }1 ^4 O0 Z' o( w. D# J7 QSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
$ @# k) I0 O' n& z- w3 d# S$ I* N6 l5 @
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
8 q% ?6 d/ K% V* ]3 ?- c
. ~/ }, ]! K7 L9 X' X. @+ P具体过程如下:8 w. X, c1 ~% F$ P* ], O
3 `4 k& z: c6 [9 u1 q1.停掉iis iisreset /stop
( f: } G5 g/ O2 k, p" y3 L3 C4 L# V
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件& }+ Y0 R3 q8 j" s: ?. T
8 Q: f$ j) T$ d3 Q
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡