|
|
1.如何让asp脚本以system权限运行?
& E" {3 H% ]; b, P7 q) g* H% Y3 B0 g2 D6 J1 a
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....+ y; _2 _/ q2 z: N1 j3 E
* M0 Z9 @0 T! z2.如何防止asp木马?5 s+ X+ d- e3 T: m) l9 H5 J
2 b( L$ K: P$ H' p0 ?基于FileSystemObject组件的asp木马# G2 ]' D$ f+ I" g. C
5 j: K$ M& p4 o5 G% acacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
3 u! Q0 G5 ^' t, N1 H! V( a+ m3 ~
regsvr32 scrrun.dll /u /s //删除
. `. {8 ~5 e4 S, |5 U" s! s& C9 ]7 x' ?
基于shell.application组件的asp木马# R4 `' G* m p+ D4 u6 _$ _
; C8 X% O! n9 ^- @cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用# x0 S. t) u/ b/ |0 x. U
' J9 C) [. Z$ {
regsvr32 shell32.dll /u /s //删除
% l+ z# }8 _% p( h/ A( @" q% ]# m+ d8 B b B
3.如何加密asp文件?
- s# z* O6 Y7 ?' v, e
; v$ B- W; u! i' |/ Y从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。, N$ g" W1 U3 M1 H* f2 ^8 Y
) h/ [, q# S8 }. K, d7 d5 M
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。8 w% L; c- k O, Q7 p1 c
, H+ n/ D- W' v( e4 `2 m) q
运行screnc - l vbscript source.asp destination.asp
, F5 x6 P: D- u: V1 S1 D
. S2 `" o$ J& L3 V5 u生成包含密文ASP脚本的新文件destination.asp' g9 q) ?0 X. A# x9 @% h
; d2 z7 Q, l, T- d: L( A用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
. f% a# \+ B2 q: |' m& H6 c( F5 X* M$ H7 Q4 y
但无法加密中文。- x$ o. }6 ]; _& i! t' R
4 |1 ]" P% H- F4 ?; l: T
4.如何从IISLockdown中提取urlscan?
& L9 [( O0 V; T4 K# a* e, O
& X6 M/ I, e/ R; Uiislockd.exe /q /c /t:c:\urlscan. G$ `0 T* R. i9 B; {0 l
, }% q4 b7 D. o4 R! y+ T
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
8 I, U6 Y/ C! E3 F ]9 q$ C: d4 a# ^: `3 b0 Q
执行/ T4 {# _0 P) J& W" W
" i; x/ X! l2 ]& Xcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
5 {6 [) ?* d; Y0 Q& m: b1 P% r
% I- e: B% y' G; D: t最后需要重新启动iis* _. u" O7 k( `; L
% o C" t4 c+ ?0 |
6.如何解决HTTP500内部错误?
+ P0 P% m2 @4 `( E- i
& @* n* V! d! ?! p9 W3 W& `iis http500内部错误大部分原因* ^# b9 b+ _7 X+ M" A+ A
' B, P% @- z: f, a: N" F' d! p3 T1 r
主要是由于iwam账号的密码不同步造成的。
- [, s* |3 T5 `9 T5 K9 @2 ]1 W- P9 X1 ?+ f6 X* c* \3 }8 D2 \
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
3 Q" [$ E4 M$ n9 y
: t. S c) U6 R" G. ^6 _执行
! z) O7 ]0 R8 G- t T0 V1 B3 }2 X C% b5 s
cscript c:\inetpub\adminscripts\synciwam.vbs -v& L6 @1 H& u" J0 c
/ b: g. B5 r1 S0 p( X5 y- y7.如何增强iis防御SYN Flood的能力?* }& L( K' q, y
; b9 T6 ~5 U2 o) T6 d$ wWindows Registry Editor Version 5.004 X7 y$ P6 H3 B! D2 v
7 l7 `' _7 q& c4 v5 x6 y, E) Y
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]' B5 U `+ X$ |# e) V' t
' l9 `) h/ d9 M8 W
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后* m0 p$ }, n8 S1 P
9 }/ E8 ~' ]! G; d
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值! @5 _, N- P* D- w
n0 P; S8 p" w: b. h
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。7 Y; I! m- \& g7 s
5 g8 \9 B, U- m# g2 x" {8 D
"SynAttackProtect"=dword:00000002+ b- j# g! e# C
' O! \" N9 d+ ? Z- u" u+ N同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
- E# {6 Z+ r2 I$ d/ x; s
% Q* b/ t& m# u# z# @9 y( J的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。6 M3 B" L2 S. C
0 @% v: t# \* g f v3 s1 t# t( f
"TcpMaxHalfOpen"=dword:00000064
! X* d/ ^( X- H+ f* s2 C& A& L3 A; p) F5 r% p; h9 \% Y) s# v
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
, b2 r1 P0 I P- Q2 i9 }) e% K ^0 k& o; n. {: g# ~
"TcpMaxHalfOpenRetried"=dword:000000501 k% }' }4 z: w: I: j
( B8 b3 r }' _( @& y& s" t3 v
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 z! X5 t' I0 j, x8 e
7 z9 |6 P# Z1 S% R8 Z! E, v
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
3 G- f! ?0 H! W
. m3 f* q9 U* z0 A5 b! M微软站点安全推荐为2。$ R- p( P$ R' x5 ~
2 p5 X F( ?9 Y8 h"TcpMaxConnectResponseRetransmissions"=dword:000000012 F4 w0 I4 ]1 y" I) l
* D. C7 ^$ o, f/ ]( r设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
' l4 B( N5 w Z+ ^ M. O( @ J5 H/ e0 L/ ^. m3 h, M3 {
"TcpMaxDataRetransmissions"=dword:00000003- J. c7 L, n5 P- k0 ?
. J/ U% H G. X. H! F设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
; B) [9 |3 M8 V4 e0 k
- t7 x c2 @0 y- O1 O9 o"TCPMaxPortsExhausted"=dword:00000005
. U, f. V8 g0 ^" _5 w F7 s6 f6 q( v5 u8 u# {. P0 o+ F
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的% F. T& F7 k. W' ^' w B
6 z# p" ~* c" ]8 |# d) A& @. v& L& ^
源路由包,微软站点安全推荐为2。7 ~: @0 X0 u+ W. K2 \$ Q" _: k3 ~
1 B9 |" F( g y6 O$ `; I"DisableIPSourceRouting"=dword:0000002
! d+ M) J; V% D2 Q; K9 B) r' R9 u6 b3 j8 k" i
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
q, S: K+ G& W2 I$ O8 w/ k2 F# K5 o# ]- V& q
"TcpTimedWaitDelay"=dword:0000001e
2 W3 `# b( J- l- [
! l8 C" z% v- ?# O; j8.如何避免*mdb文件被下载?! N5 f/ ^. p% w, C3 f! O! C- e6 @
1 F: U9 ~' }) Q) y1 H- W4 r# r
安装ms发布的urlscan工具,可以从根本上解决这个问题。
) u' ^- g7 B# {( p7 ?" T, M. X. G) w) f( c
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。$ J' L3 j1 G. Z; ?" p
6 o1 V- U- e. f. g$ P* T+ b9 m9.如何让iis的最小ntfs权限运行?
' B- G) P. j: Z( z8 R1 ^- \& F8 ]/ @2 J) L
依次做下面的工作:" Z% I- [/ F$ r, x: J- h6 S
" Q8 R0 z1 N" d
a.选取整个硬盘:1 ~ m" q( l5 q* e
! ~6 S Q! _ p! Cystem:完全控制
9 S" f" e o2 }) F' F4 x
: ]5 ?2 |2 |: _& \% zadministrator:完全控制1 @1 ?- Z& g5 \$ y* s
2 M5 |$ p2 T% ?9 {% b(允许将来自父系的可继承性权限传播给对象)# K6 ?) i/ n! y7 o2 H6 [
) {1 {0 s* g9 c: S# B$ }2 _.\program files\common files:& F" C! x$ h" D
- g1 U+ p) _, p
everyone:读取及运行
, s; R7 |# k, l9 p8 N0 X
3 E3 ^8 f1 W; d: m% {* T列出文件目录/ U! j& O+ Z3 W: `
4 }* D& j) s4 a. R- l/ A3 M
读取
' \( t d4 h9 {4 Q' _# G! o3 d+ w
(允许将来自父系的可继承性权限传播给对象), P5 n- \/ F1 g& d0 z9 B) l: z" O
5 f& R$ i4 @% }+ R
c.\inetpub\wwwroot:9 K+ b! a7 s1 p7 T5 S: `6 x
6 f0 s3 N0 C0 E7 d
iusr_machine:读取及运行2 @, U1 J. g/ z# h( c7 `% V$ H
; ]4 h" u: d; z) f3 p3 A6 b* A
列出文件目录
0 `; g9 f" l4 }' v) _: Q
* r2 j0 Y7 ^; {( \2 x* c读取! `5 V/ }+ d# X0 n; F
$ S8 ^# j5 y1 W V" i' p(允许将来自父系的可继承性权限传播给对象)
2 Y6 Y% ^7 R# s$ X
9 X7 N- j1 {0 b) ]e.\winnt\system32:& q! v: {% a& u: g8 [! @
A; J; s2 e' T+ a, ~1 H% D选择除inetsrv和centsrv以外的所有目录,
, i4 P+ g% E. ~% J9 Z
7 a4 R( d% _ t& R0 g: W去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 V$ y* A5 A5 {5 b) p. i+ a* ?( ^2 x# ]/ z/ l& r, Q
f.\winnt:
. n+ B7 @& T& `" x
6 y5 q( o+ S0 Y7 v9 H# W5 w0 k选择除了downloaded program files、help、iis temporary compressed files、
# p. y9 _: z4 x0 B; S) `( x* B! B! l$ A# R. ?$ n% t
offline web pages、system32、tasks、temp、web以外的所有目录
4 j$ s0 f% C/ J. N% V
9 m# N0 y' M7 Y' R5 B7 h去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. @0 Q$ y6 h$ x l& G9 ]9 m9 i ? f( A- R( A
g.\winnt:. \& J/ v4 y+ A, K
3 ~& D$ T9 M9 J$ G
everyone:读取及运行
- y% \8 X! b; C+ u2 G4 O0 J8 m& c
列出文件目录
: G' k7 @0 J( u' C) C* s5 u: n& {4 T- O
读取(允许将来自父系的可继承性权限传播给对象)4 c% j$ N) ^: C. s7 B& F% y: L- N( P9 w
, o; I* B$ C f* k. l4 b! y
h.\winnt\temp (允许访问数据库并显示在asp页面上)/ u# f/ h* p g" L/ V7 J! |; c
3 @5 {+ Q7 [% ?! o5 g2 Y: weveryone:修改
" J( f4 I4 I }7 W
+ f0 D" v9 [& d8 u: y. }) s(允许将来自父系的可继承性权限传播给对象)
4 @1 ^# W; P- J7 f, h; p
) T2 a/ A5 V0 b10.如何隐藏iis版本? K T- G2 X5 C4 _. K" g
& _0 B9 m) C# s. Q3 N; h
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息( X u& O8 b& g( _/ }
& \+ S) m8 y- Hiis存放IIS BANNER的所对应的dll文件如下:# S6 H& y) M7 N) O. K+ ?* P. J
: }8 b6 U# W) A$ z" O9 Q
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL" R2 r& s/ M7 p) z8 I, L+ P' {
4 f* q1 Z5 K4 h+ M
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
) }$ G- R1 f0 n; p4 w, N% a4 W2 Z4 g- M( W8 o: W5 n: H& c
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL1 R; ^1 k5 p+ M7 P" A! W
* x- Q4 C8 _" M# o1 ^! z3 z) Y/ V& Z你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
9 Q* p$ t3 r! ?8 V$ r' \
6 ^5 x0 `( `* `# K# @. ]) P& i具体过程如下:5 D( W6 ^5 p. d7 G% @! H2 X
9 a1 k: I( c5 @5 l Q- [
1.停掉iis iisreset /stop
4 [% D% @! M- Q+ _& L# ]/ z p: H, R8 c4 ^8 ]
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件& R" |' @4 D$ U- Z
, X H( P* ^3 _
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡