|
|
1.如何让asp脚本以system权限运行?
; Z/ i2 `0 a& k- _
) d4 W, _" D5 b0 s- W修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
; U {1 s7 ~* A5 H. R
( w" ]: \/ c, p0 M2.如何防止asp木马?/ G$ X8 b$ m+ F& @$ L
" {7 ]. A2 m- d& R/ A* Z( N5 U. @基于FileSystemObject组件的asp木马
$ Z7 M. O+ D1 V# v ]4 Y Z" _4 r; Q5 m& n
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用) f( s3 Y, v* S' z% U: }: X
! P/ O9 Z" |* jregsvr32 scrrun.dll /u /s //删除* P5 E8 E! O3 n
- Y! Z5 `3 r" H" J3 ^% V& ~$ a基于shell.application组件的asp木马
3 X+ S* h2 Y+ e+ L! n3 a
+ v8 ] H* O: L/ f0 M/ R; I1 _cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
$ e; \+ {0 o/ m. ^' u
' I6 K0 O; A- z' P G2 fregsvr32 shell32.dll /u /s //删除+ B$ c8 A. [8 T
7 c+ t, E9 ?: E4 A0 r" W* w
3.如何加密asp文件?& G Z$ Y0 m" h) Y* Y( ]' M& G1 }
+ p8 H7 X/ @0 a& m f
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
0 o1 ]& k, c! O6 z0 U+ u. N0 E2 L' o. q' Y' U9 F, ~+ q( b
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。/ F1 ~: H5 q3 o% b
1 D7 t t5 I$ D. Y+ A! y
运行screnc - l vbscript source.asp destination.asp
6 R' l2 v% ]( Q8 o7 }
: E' p( l! Y [生成包含密文ASP脚本的新文件destination.asp5 \; b4 [/ h& ]' T1 F# o. }' |
, x; U7 p- O3 V: Q* E; ~1 I7 }$ P% y! h
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了; g8 B( E' t( k+ ?9 G
# M0 D! ^! s6 k$ m- ]* s. I
但无法加密中文。# y% R0 D: d& Q" |: x' j2 \
/ X" ^4 K# Q6 q/ I
4.如何从IISLockdown中提取urlscan?4 L9 `1 k: _+ k9 C; T/ s* g
; I# I4 F7 z$ V/ g7 _4 `" @& I: |
iislockd.exe /q /c /t:c:\urlscan5 y2 ?4 E# q$ P# ?
! b |5 A; K) \2 ^( e ]
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
1 H) W: F7 M5 i
3 m2 M+ p% |7 B4 e8 G执行
! \. |' k4 K2 k+ V/ z4 u D; B$ C, K& S C! \
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True9 _9 ~4 {: N+ R' m4 x
# N2 L1 P% f. L( P
最后需要重新启动iis( U/ o1 P) ^2 O
6 s G( A7 e. a" d6.如何解决HTTP500内部错误?
( p- E+ {) K3 p" p2 v: _: Q4 H
( w. c" v9 m& v: ^iis http500内部错误大部分原因
* i' h% q. s" j; K
1 |0 @* n/ Q; d( v2 S9 Z主要是由于iwam账号的密码不同步造成的。0 i, Y- v+ I" F
; T2 `* k q* f我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
; m4 y+ O+ T; |5 g( Z6 i
8 `4 P; ^9 t" T" X4 Q4 p! \执行
0 P; u9 N& {; D8 G/ ~1 h1 c. W; V4 o) t: v
cscript c:\inetpub\adminscripts\synciwam.vbs -v
# G; i) ]3 ^, w! S2 v
8 I( N# g! M* u. x7.如何增强iis防御SYN Flood的能力?
( ]$ Q, x; Z; t0 G6 ~7 F- {, |. {! G* E S4 e' [
Windows Registry Editor Version 5.002 i/ v* n+ q$ Y
2 i1 j, C5 \" C& ^7 A4 b% s' {[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
' j' ?* @; g. `7 X' F1 _0 B& L8 ^
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后3 f2 @/ \4 @ m3 u! m
k1 ]5 n" L/ B" }4 \/ S5 ~2 }安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
1 e- b! P( A+ y- R/ ]7 K+ y% z4 O6 r) m& R/ v9 f2 Y# U. ^$ N
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。8 q1 I6 S U2 ?% {
2 F L5 z; d% J- w0 V
"SynAttackProtect"=dword:00000002
. @0 i4 w6 I/ Z! f" F) m2 H h; B- N
: [, k+ _. t9 d同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态% M- n( o; J0 S n) G& y3 k
; \! C0 f/ c( R0 C) N: c! ~8 ~/ L4 g. h的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。' ^7 L' g2 ~0 v# B J% j7 s8 i r
4 f7 F* V; ~# A7 b7 J t6 `
"TcpMaxHalfOpen"=dword:00000064
# c% c9 c' A2 e0 @# Z' S1 o# Q, K# ^- j
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
0 b& X( y! g( M+ T% q. O( w1 m# p5 _# {6 i* C
"TcpMaxHalfOpenRetried"=dword:00000050
Y/ r! S* l2 w- v$ G$ d _% X: k2 w* I$ p) d5 ~
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。& G+ ^6 K8 |. a3 g3 W* L
0 r- G! j6 e" C1 k项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
0 R4 I E& x q% g
; [; x3 Z6 E y- p: _微软站点安全推荐为2。/ D/ t% u5 M) z% F6 a8 ]1 A2 T
6 c6 U8 \# [+ Z4 a+ z1 m3 L$ {- T& n
"TcpMaxConnectResponseRetransmissions"=dword:00000001: l) Z+ u# q* x
: m& Y* c6 ~ A' l4 j8 V) f
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
$ a5 P9 {. e0 X, x& x
' n2 i! Z: z, u* q y"TcpMaxDataRetransmissions"=dword:000000036 b+ z# R6 N) [: K9 e& [. e
; b8 w h$ @& F1 A% K
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。1 M8 g0 r7 C7 Y3 d( U: B" X
% O" k+ I4 X/ Q, X, Q
"TCPMaxPortsExhausted"=dword:00000005
& r# n2 \* |6 Y# R; I* X9 h; y
3 Y/ P& ^! l7 f, G" W禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
# i& y% X$ e. V- F. _7 R/ H. j v) g+ |
源路由包,微软站点安全推荐为2。( K0 ?; e; y6 O* R9 G# u
2 V2 m4 D' m6 n+ y"DisableIPSourceRouting"=dword:00000020 U5 r3 W* O) Q# w# W, ^ o1 c
2 v2 o. i7 D% X) _) ^限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
2 V, r* n; ]0 d! k* c
) d( J0 U; M7 k3 F"TcpTimedWaitDelay"=dword:0000001e% S6 W% u9 z2 A) u7 |
) s! V' R# `" J$ ]* E9 ?. x
8.如何避免*mdb文件被下载?
( a! r8 l9 Q3 f8 X1 `" o1 `
9 v7 U3 D8 N: n' m5 p5 g安装ms发布的urlscan工具,可以从根本上解决这个问题。
' c& }5 z _, \" k/ n+ p7 J6 v7 C* S+ q% x
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。! Y) R" v) p# s) {
, W- y9 f$ Z) D4 L7 T
9.如何让iis的最小ntfs权限运行?
& ^0 k6 V6 |- B; W, I9 v* ?# g5 o
7 _+ ?7 o6 E3 k7 t1 I6 u8 V x依次做下面的工作:8 [2 t# s; m! r2 L" {2 t8 ?+ {5 b
8 z7 p: T; h9 q4 m3 Na.选取整个硬盘:
. H/ j0 a2 w! i8 [) Y0 I% b8 N1 o1 C# _8 \( U: {
ystem:完全控制
$ W+ ^1 g1 y) O5 Q1 F7 k# h; W! A$ F4 b4 N' W. r
administrator:完全控制
; A# Y7 j/ }7 j/ c1 x9 y. e& v- ^; d! S2 N! d
(允许将来自父系的可继承性权限传播给对象)* I9 ]# ?- J/ t6 l1 R* R6 m
" h4 J! W- O7 \+ Z4 ?8 p.\program files\common files:
; B4 A2 {4 s& T/ ~. k1 K# k$ @5 f' K' Z% H3 z% N0 {4 e! i6 ]
everyone:读取及运行4 K" a: y4 H! Q x) Z
5 H3 z" C" s! v& M. n1 w, s2 t列出文件目录
: U1 e( L2 V5 u" w! I
, @$ a" {# j: {7 G: O9 W; G6 h读取
- }+ g% v& q2 i/ U g! f
! E" X" [+ l( h: I* G9 Q2 j(允许将来自父系的可继承性权限传播给对象)
+ {+ h: i5 j8 W" e, W4 v$ x% X* z
( W q+ T0 n; N. l) c( K7 D3 _6 ?c.\inetpub\wwwroot:: q: ? _4 L$ I; g& A3 ?; @
, y+ v7 F6 `# R3 d4 z: |
iusr_machine:读取及运行5 W; e! x$ D( a- v; ^: Q
, _7 b3 b% w2 B3 L( m列出文件目录
4 D1 z7 B6 x# [; K( A* |# P* q+ s3 u0 ]2 @! `3 G0 c- ?
读取! ^9 K4 u( M: Z. z+ p2 d0 O2 u
3 L' E1 A3 O# I6 U% ^9 G
(允许将来自父系的可继承性权限传播给对象)
# O/ j9 t6 c" Q9 w
" [3 b% X' h7 f; Ie.\winnt\system32:
# y7 A a. ^1 V# D7 U: a
+ t4 y% ~, g" ?选择除inetsrv和centsrv以外的所有目录,, E+ D$ r" R+ E: D# \! C
m7 {& y" W& V4 \6 f8 d0 F
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 a' z# i9 ]! C* m/ A/ ~3 H# \
/ V+ s' y4 y/ X
f.\winnt:2 c6 @1 p$ ]) L' ^1 \) V
5 p5 b2 ?5 A* ~选择除了downloaded program files、help、iis temporary compressed files、
! u4 Y% } e; z6 s* H" s. I; l6 ~. M8 _* t- `% T% c$ y9 N! b
offline web pages、system32、tasks、temp、web以外的所有目录: ?3 W% L$ \( }$ k4 }
q7 ?* j- P. `; @1 u0 R
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ l+ `# ^/ c4 z; q3 j! b' {* O2 S' j2 X2 V$ v0 ~; B5 N/ X
g.\winnt:. c u: e& `7 b) q9 w4 m% d
& f# G/ _4 `2 ?+ O. t! A5 C
everyone:读取及运行
! _, u( e- c; b; m! l. a) `) f* F0 ]6 V! T W4 D0 J
列出文件目录+ c6 X. c1 D9 c/ r8 D( w! ]$ r
, I) {: _2 r3 t5 S8 r) J读取(允许将来自父系的可继承性权限传播给对象)
: S% ^& ?6 S: i; p, z3 z& ?( h
! i+ L$ w/ U4 I/ uh.\winnt\temp (允许访问数据库并显示在asp页面上)
. Z7 x: z5 N6 ~& N! T: k) s- T! o
) V7 A! Y0 a+ z3 q4 heveryone:修改
# n0 R- C' D7 ]* X; j/ O L' m2 V: x: B7 I3 i' R8 }
(允许将来自父系的可继承性权限传播给对象)
$ \9 n# u0 A" c7 }" Z8 c# O
7 B; e& W9 b; R" `* k2 y10.如何隐藏iis版本?
: W1 d* W+ E- i+ \: B5 \6 I" ]/ T
8 x& Z7 l; i( [6 z1 R+ r4 M4 ]一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
5 L$ u8 d. B8 ?- m- U$ {* `3 `3 d. Q, n
iis存放IIS BANNER的所对应的dll文件如下:2 u# @7 Y( p6 X0 `: L9 Z
" ?3 z7 J. M9 k# o" j+ h" EWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL# }/ s r/ C& S0 s8 Q% k
* }7 C: y' V' a% X, |3 Z9 t) ~FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL7 M6 y, m# M4 q5 V" a' n2 I$ N9 f7 K/ _
7 Q8 f( `" ]5 @) S+ d. ?SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL4 a) l' U7 T# n( Z9 A1 D" Q4 x1 ]
. p' x6 T6 e; Z你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
/ W% Y: c; Y! `1 d8 }
* _% o) _) A4 ^2 N2 D3 o具体过程如下:- A0 D# x- q/ L' R- U% b& p$ o
: @0 {% L- f* ?) n2 c
1.停掉iis iisreset /stop
) M( \! h7 c# K! ~0 u& s
. B1 O" B6 V' @7 K/ u9 F2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
- \8 \ M7 g/ j" U; Q% q* p. n2 l' p* B: @
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡