|
|
1.如何让asp脚本以system权限运行?+ o- W: _4 @% W
" G) i* D; X3 d! r T. T
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% L" Y' l8 ?" W& b
7 T& C h4 o9 B. B R% I+ |8 m$ o0 M; ^2.如何防止asp木马?6 [3 ~4 o1 L% d0 m
' _+ |. f1 q1 d6 g* D基于FileSystemObject组件的asp木马" K: t3 i! q# {! E. j* o9 g
% y8 S" g" p/ H% A2 ocacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用! ?; n. N/ p9 y! ~& U: z# h5 D9 I4 T0 q
4 t* i6 }4 v+ Y. ~3 W6 Uregsvr32 scrrun.dll /u /s //删除
. U( I& _, A) H8 d4 m2 F
# h; K) r1 ^ C. F# U基于shell.application组件的asp木马3 t. B* o8 a4 Z, [: l) |- _
1 }& m/ \9 L% ?" g% G; L
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用* F. B; ^& Y C
* h+ j6 I. B$ z5 e# G
regsvr32 shell32.dll /u /s //删除. x0 E0 E, I2 w# I9 u+ ~ J
5 a; O8 E) u% N0 R3.如何加密asp文件? B- w+ M1 Y7 {4 h& z, A
; K3 s) c! c' M/ @7 d0 X( `0 h从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
( R# A# P* C; ? z T
. K9 }; k1 g- H+ y7 B" o安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
: b" q* P$ F% x l1 [8 q9 Q# J3 ]. S9 t1 N# o5 ]8 n
运行screnc - l vbscript source.asp destination.asp9 t& p2 O+ o& K
1 ]/ F# e+ _* o7 `: S生成包含密文ASP脚本的新文件destination.asp \4 ^9 R; ~7 Q$ x8 e
' O# U* |4 q, j6 E7 x" W用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
+ x. |. F( \* K/ E A
8 _5 T4 T) j( A1 e7 T但无法加密中文。
3 [# y7 g q& c) @$ t/ s5 }+ @
& q0 ^ _8 R8 {& i% [: j9 \4.如何从IISLockdown中提取urlscan?
. Y% u) Z" W7 h4 i& ]/ ^3 c6 r
" S6 I) e. G- Qiislockd.exe /q /c /t:c:\urlscan
# c3 i' j) `) G* @
1 S/ h# C& V- U* P$ I4 T5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
+ }/ D$ x0 K6 P" t/ O+ g* Z2 `/ G K* V0 I! |* ?6 _+ D3 E
执行
8 j. u$ R% `) T3 G( w8 h( b
' b H0 c4 w6 E# T7 g+ h7 ]0 Gcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True- Q( L1 O, ^9 ]3 Z
* T4 U" `0 f; C
最后需要重新启动iis4 G) S( v1 x% e9 ^$ d' M- L
& J; w5 X/ {2 h
6.如何解决HTTP500内部错误?
$ N- d; O7 D: Q3 r" H. F2 s2 I! {: }7 z
iis http500内部错误大部分原因
! D2 c& f- X* G, x, C0 y. W2 @7 j9 [$ g3 m+ w8 g
主要是由于iwam账号的密码不同步造成的。
6 C3 h; r- {. C6 ?" q% T0 l5 |
' m2 h c- {* s+ |我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
+ p; g! O, E4 b" U1 t1 {; m, G4 t, |
9 Z; L+ e4 S3 B3 O# \' `+ L: ~执行
2 m# W2 u; g4 l1 W6 u( S
% ?/ P' }: j4 Hcscript c:\inetpub\adminscripts\synciwam.vbs -v4 c# _( w' \* @- h
" H# e- U6 D a0 E6 l! l L2 w
7.如何增强iis防御SYN Flood的能力?
2 i: B; a8 @, I+ y* S
5 { K% ]8 J6 N, I0 d" DWindows Registry Editor Version 5.00
" M# x% c, T4 H' Q2 X' W, T
! Q4 j8 c; D$ ]' q, J: b9 l' q& Y[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
7 ~% R& L' g$ r4 \6 l& C+ n9 Z2 c2 [: H
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后4 T2 _( M& Y. w* v
3 i, W$ P+ I% o! L安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值3 N5 U0 Y( Y' s4 z
1 s0 I) j1 i4 b7 I# u8 y0 Z p. Y设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。' \4 d8 K5 U% r0 P6 n1 f
p; [8 t: w/ b$ H"SynAttackProtect"=dword:00000002
% K" R8 U! M- I N7 ?; l
" u' C6 T6 l. A6 A1 q7 @同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
7 O M7 P4 E$ d- l* q4 y) Z) Q: [; D8 K- R8 h4 R( w# X
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- c0 i- C! J' s$ a0 d* X4 |- F3 G) a
"TcpMaxHalfOpen"=dword:00000064
" O1 F% A' A: O y5 @# q* |
8 G3 \9 K* b) B+ E, j0 T* Q判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。( X5 z% I( U! B, j, e2 f
1 M4 g& D j3 w
"TcpMaxHalfOpenRetried"=dword:000000506 ~+ Y9 ]8 W6 h( J: z! }( Z1 V' o
0 G, T, _, {7 @: `* e& j$ {设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
- W. Y1 V$ Y7 g2 f: b- z9 q
t( P; a) S: l* }项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
5 L- A% D7 y6 A3 B/ K. d, o# z
0 n: o8 h% n) U) M+ N微软站点安全推荐为2。5 ~) ]9 B" J9 l
$ Z- K0 S0 k( M3 h"TcpMaxConnectResponseRetransmissions"=dword:00000001, d2 Y$ L! {* \5 }* w8 Z
0 Z9 h. k3 v+ s' t. ~5 }$ @$ l
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
* y5 J, V% T% s L0 r. H& D) {
% m0 \; Y, @9 E" R% A" z"TcpMaxDataRetransmissions"=dword:00000003
) X2 q1 E( u* y( G1 ?& t4 m5 `
1 W+ W7 {5 c0 K! l设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
3 ? }( R+ |. D8 I5 {' u" X6 x2 {+ \9 l+ |% R1 E k
"TCPMaxPortsExhausted"=dword:000000055 u( R6 u3 Z V" W* A0 O
6 G% E# {9 ?9 N5 |6 X, P* k- U/ D% W& ^
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
' P3 q. }7 ]. J* [7 F& S4 K- q# O5 s$ m7 K
源路由包,微软站点安全推荐为2。, y. R0 O3 w. r" W/ ~' {
: h% T/ G4 F8 M"DisableIPSourceRouting"=dword:0000002
8 v) [1 `; f2 H+ P' G* H$ o' o3 S
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。. j9 b" @% i" J, q- s* E
8 Z' f% l0 P4 \' u0 `9 W
"TcpTimedWaitDelay"=dword:0000001e
: ^8 s+ l, v3 Z g2 ]7 M. ]3 P
0 p- G7 Z- N$ X" x8.如何避免*mdb文件被下载?( b5 }! [' B+ d/ y4 _- w
& T" r4 K* X+ d
安装ms发布的urlscan工具,可以从根本上解决这个问题。/ R6 ~8 F" {) T, e
+ c( M) C/ D& @) c/ U5 j0 J
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。2 K5 Z# v9 Q8 Y/ C
# K1 ^- A2 Z3 }; N+ O: U! W7 ^
9.如何让iis的最小ntfs权限运行?
5 a7 s$ R, ]1 P' |2 o7 @# d9 m" X. P8 f) g
依次做下面的工作:
- Y ?: T4 B$ }+ X- v9 M+ b, m' ~& E/ p; y
a.选取整个硬盘:# k; L7 v0 v& F; h0 t; N
2 m9 y4 h2 j9 ]3 c# ^ystem:完全控制" o) E" U' X, `8 O8 l( _+ Y% D6 u
9 b5 V$ D- e$ V# N' radministrator:完全控制# ]$ w7 f- @. T" G( Q
: F; Y9 C" w- P2 x& c& a5 u3 J4 _, T
(允许将来自父系的可继承性权限传播给对象)
! G0 K) c& k M8 C
/ [/ p" o4 Q& M0 w.\program files\common files:7 C- E9 R6 O/ Z" c* _
$ F w7 \% U9 B- }/ F
everyone:读取及运行
0 w1 n' j4 Z" z8 T, |6 L( p4 o6 q* f& w% F1 H. Q
列出文件目录 X$ y* a) [6 a* F J2 T! [
( K& y, `1 b6 @3 ~' x
读取5 i/ v& J9 z1 g* \: T- |
6 x5 w8 W* q, S" x
(允许将来自父系的可继承性权限传播给对象)- o: N7 [8 y. y
2 `3 B4 k( F) u9 e+ w2 lc.\inetpub\wwwroot:8 `# O' t! \1 S' I# h$ P* g1 P' f9 m
6 u" R% o5 \8 g- }3 O+ Kiusr_machine:读取及运行6 I3 h5 L7 R3 C
4 h O; T6 V# t) N% _
列出文件目录' H' p5 D/ k4 \8 Q6 _* D, Q
% U" Y& v9 S8 U5 I2 u+ V/ z读取
: |. @8 i ]3 F1 z: c& z- U! t5 @+ V' I& m5 M( ~
(允许将来自父系的可继承性权限传播给对象). W4 E- [- G) j! @5 m( C5 O3 P
* h" k) m* \2 y
e.\winnt\system32:
. U0 h. G( K3 m8 v4 \! |7 \7 v8 b, `4 N" X1 n
选择除inetsrv和centsrv以外的所有目录,
8 w f) T) S! r3 L* b9 B$ M4 ]" M b. n) ?9 z- H& M
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。! V) q: T; S! o% t' J
" Y: N7 `0 p. ]0 {4 q
f.\winnt:) a0 T4 ]7 L, k
% w$ e1 ?: V A6 g选择除了downloaded program files、help、iis temporary compressed files、
$ C* K& o: D9 P2 q
; P! m5 \! s8 S8 |! Voffline web pages、system32、tasks、temp、web以外的所有目录) }, p7 T4 }. f( N' ]$ Q
& A% _9 U! r8 M! H: m. g
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( X' M7 X2 \' @/ d, i3 }
5 l& V3 Q, x! U2 Dg.\winnt:
) T' t2 M1 n( I8 c" L9 k! F5 O0 y: L' u' N
everyone:读取及运行
) ~# r! X1 f/ s) \
; Q5 c% B2 c' u1 }列出文件目录
O+ j" G& J) ?6 `
9 `- `# ^, a( M- T( F! b; T读取(允许将来自父系的可继承性权限传播给对象)8 L* G: H4 M& N: T
7 {* ^2 F7 U/ R r$ Eh.\winnt\temp (允许访问数据库并显示在asp页面上)/ q8 }3 j* i; x0 w( _% W
4 N6 J) E( I3 d* G3 e# g" \- n
everyone:修改
/ x6 c0 L h1 o$ d* l0 q- |+ x& `$ x7 H- n- f. a' F1 I
(允许将来自父系的可继承性权限传播给对象)
% o) f3 B# B% `6 M$ |1 J- G- |4 F
10.如何隐藏iis版本?' P3 s: ^& @' |: [* v- s
6 m$ B5 ]( o3 y N一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
# N- L, q& {( V; C
* O; s3 ^* {& s! D/ @6 ?iis存放IIS BANNER的所对应的dll文件如下:, i) F7 B5 G. ^3 c" d' {
: J5 K9 n$ t- L1 u! k& AWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
# ~( \7 I2 ?' c
( d6 f! G4 y, b8 Y9 }. aFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL# }, n, H; c" w, E, Q* W, |
: t8 S$ H; V! }2 `. K ~ R. ]SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL5 P* o" r# J; ]' C3 b
* z4 W( ?9 s5 k- l( b) W9 `你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
8 a& M3 b$ g. O9 y+ o$ n+ H& o9 H" v' c) ]9 N: \- R
具体过程如下:
( `6 h/ e! _* O8 {
1 S8 E S; {% I Z! S1 s1.停掉iis iisreset /stop
2 w2 K8 k2 i' S+ s e- d
4 n2 S3 b7 u& X: g6 ~ E2 y2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 y9 Y" i; L7 U) r+ A( T$ v8 ?
9 a. D& r3 }8 }+ l! d- _* c
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡