|
|
1.如何让asp脚本以system权限运行?" o5 ^4 D! S' C5 v/ e8 R
' C' f! v: I! h6 C, i
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
9 ?! O( i6 X4 k/ _! ?: k
, T; Z- m) Z3 H z3 H2.如何防止asp木马?4 f+ K) t4 S# H: x: D) A( p
- h& E0 x' B& O3 b; w基于FileSystemObject组件的asp木马
4 Z7 _: g- D4 t
. X. E8 m6 m0 E+ B( A: g4 r! B* Icacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用5 `5 a5 v1 E6 t: [- S
0 d. a' v/ s6 L
regsvr32 scrrun.dll /u /s //删除
, o# v+ b+ j4 y' t
f! p3 | F3 ^' L' d基于shell.application组件的asp木马$ n3 E0 t: K# {' h3 q- v0 K1 E w
4 b- L. v: C; E- Z' N) Y8 Y" U
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用0 T- s- `6 i5 J
; ]. v B; E4 K) z8 ]: vregsvr32 shell32.dll /u /s //删除! {, }- U1 W" i+ T- ^$ j0 M }* J
& s/ U( `7 T6 X/ w3.如何加密asp文件?( x0 P3 i. u/ v! [
; }! H0 S# X1 |' V从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
6 p7 f" {* L8 |' P0 @) ?5 I
( d7 Y1 d4 x7 M% _) e) u: p- n, Z安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。7 R# ^* r% k# c |# y
4 O9 B! M9 V, i# x: ]' n$ Y运行screnc - l vbscript source.asp destination.asp
7 e8 k4 x8 x1 x4 Y/ |. y* j; k I1 n
生成包含密文ASP脚本的新文件destination.asp8 l$ B( B1 X" Y0 s/ i) m! v
7 k! g# I& A# [$ q, P, X7 c% Y用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( z6 e* d% G: \6 ~. n' j8 h5 p
. e" {; h2 p3 n' U# d, Q但无法加密中文。/ X6 c, L1 ]3 I
# y# Q3 i4 P! }' N8 z4.如何从IISLockdown中提取urlscan?
$ B2 P: V/ v# c3 N
3 v+ I6 R3 w, T% C$ Qiislockd.exe /q /c /t:c:\urlscan
?5 k' @4 O& }8 d4 `1 ]* G
' H- J7 z* N; H5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?+ }9 V* V3 P4 B+ e( L! w
+ m6 O% N7 ^1 g, e7 M% ?* _# Q执行/ j7 k9 N9 v9 B7 u% o8 u% a( g: n# k
: z% F4 o+ l& j* ~/ d. H$ n8 gcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True- S" ?( Z. Q! Y ]+ x9 L
" E, d' h& _6 y
最后需要重新启动iis5 Z9 Q& c1 B: A9 ~$ j6 g! \9 |
# P8 X0 `8 `0 c- m; m/ e; K5 e
6.如何解决HTTP500内部错误?( u+ y- \; Z, b3 C, n* H1 d
W4 o. C' i: z4 ~
iis http500内部错误大部分原因
6 W% o ^: E3 P- u# ^( D
# R* h, `7 ]: v" ]7 s. F: C主要是由于iwam账号的密码不同步造成的。
/ w2 x5 S7 q, X; s5 j
) B7 B' d; S2 o2 F5 b我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
" z4 w6 G% ]4 h# L& x+ A% Y" C8 E2 }; d8 B& f1 D
执行
6 Q' @; m9 I8 T- K' P! e. D5 A. U+ |7 p+ d5 y+ t
cscript c:\inetpub\adminscripts\synciwam.vbs -v
3 b+ }" X+ { g/ s: S: w- i7 F& |& ]# \0 ]
7.如何增强iis防御SYN Flood的能力?! S/ d6 b- g& z4 g
7 S$ b! V( r3 |& W/ i9 T
Windows Registry Editor Version 5.00
1 s- u* V# Y: y! Z
( z* l% j+ _; s B! R[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters], W* {) K! a: ?# i9 D
( A: [8 p0 M2 W* k5 C1 K. r
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后4 L: o8 W$ n) {$ F
' [* W; ^3 P: v5 B% e安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值5 Z' o0 K0 V- W* R! k! j
+ M# Z" L. s$ d设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
1 h4 X$ I) `8 \5 L- U. o9 M, b( s1 m* I8 D! O* R
"SynAttackProtect"=dword:00000002
3 u) s& [- B" B5 ?* b8 X- [1 E; H8 w2 |0 X: y" ]
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态- I6 h0 T& ]& v# t7 G+ n
* x( h+ J" c! i1 m- t$ g/ r" H
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
2 R3 w2 p+ [- m8 O3 t, |
9 w( t; Y& E2 @( a8 t"TcpMaxHalfOpen"=dword:00000064
5 Z; Q3 G0 u) q+ [4 ~
) ^1 ^4 _( L# F$ j判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
/ c; X- `; K8 \" _1 [2 J0 O2 \$ x* g
"TcpMaxHalfOpenRetried"=dword:000000505 B c; v/ a# ~* h- I
* {4 O) R2 u5 G/ @+ Q- A
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。$ W, b; c S& G/ Q9 [ z/ _7 |" u
) I( v; K6 h! a; S) J2 s" N( H2 \3 G项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。" w2 ^0 ~7 |6 M) q3 [7 @& w! T! Y
) B9 U) T, G1 N5 p0 x% y; k& \
微软站点安全推荐为2。
6 `/ L$ r6 j0 a4 o) o) T+ i
) e3 g1 ?' V4 \+ c( z! W"TcpMaxConnectResponseRetransmissions"=dword:00000001" y( Z4 q' H& m/ K2 @
% p- E6 c% Y. T+ V1 ]
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。! F3 V q7 m1 b( P" T* y
0 e: j% }# R" |. a& s3 t9 I"TcpMaxDataRetransmissions"=dword:000000039 O5 O S$ i- v) p6 q
8 E$ O1 R8 L$ a" Z- H9 X0 R
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。; t. i4 Y. n# Q2 g0 I) `* g% [+ ]
7 P$ h& w5 m. J2 K: [
"TCPMaxPortsExhausted"=dword:00000005! o4 D$ Q, f J) s$ l9 b0 r
6 }( H+ c1 u0 {2 c {2 p+ K禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的1 g/ ^- y, g- U% ]( p
) Q9 G$ ^) L/ N( {
源路由包,微软站点安全推荐为2。
- Q* `9 E0 |9 T( k6 l
/ m/ X- z5 c1 L/ M' R"DisableIPSourceRouting"=dword:0000002
M0 f% ^) I: r5 Z
& }7 c- P; j. {8 Q限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
[% n3 R+ h9 ]. @- v+ b. R5 b1 f# J3 z# H% |6 f/ V
"TcpTimedWaitDelay"=dword:0000001e6 m5 a/ C& D( t9 c; d' S5 ]3 O
) i. G: [1 r2 e) V5 H8.如何避免*mdb文件被下载?/ v2 ~* Y4 I* R' ]& [# U
+ ?2 A! J+ z+ e$ s! i0 Y
安装ms发布的urlscan工具,可以从根本上解决这个问题。7 P0 S f8 E# k# p' C
" K$ @3 q* ~6 d# S同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
7 k8 q, j. _# g1 @ C# L) G: y; ], `6 j. ? a" L2 a& `
9.如何让iis的最小ntfs权限运行?
5 R, q5 K9 M) P! m2 X G+ E0 z+ i, _6 J) ]: V |4 P% P$ B$ E1 s
依次做下面的工作:+ X' M0 V9 ~" f% ~, p. w6 T
9 u1 W8 w( p& Y9 D* Q C7 V. Ea.选取整个硬盘:& l0 M4 I: e0 D) p" ]
6 }1 @. `6 o; i" Q% x+ a- |
ystem:完全控制
% Y. r- |: u) }* t2 ?! m( u: m
# h% l7 s# @7 l' X( z% t* @7 O+ F& Yadministrator:完全控制
: x& N& R, t6 e% _
% S9 L% t! n- R4 L' n: Y5 T! u' F5 b(允许将来自父系的可继承性权限传播给对象). ^& Y6 P% g x
6 O0 H7 `+ i* [( x7 O0 b& b: k
.\program files\common files:
! ~* f* w3 R: P" G* b1 M& w5 Q* e( U0 k
everyone:读取及运行" f6 S$ Q7 _- l! \% R4 k
- U* P9 A/ i2 V
列出文件目录
# C5 }3 {- y4 ^7 C5 F) K7 u x }
读取, Z9 j& N8 F) p5 z
% P0 Y' Z9 e% G; [9 h
(允许将来自父系的可继承性权限传播给对象)- H3 |. P" H: U
) h. u: i/ B. |" F" d0 s, I8 U1 }c.\inetpub\wwwroot:
$ \, o* f$ i- G, k
: S9 g( z. I; I8 a4 z/ ]iusr_machine:读取及运行4 j7 h' H# [, X1 F) o, [
' U/ x9 M, A K9 T) [ A列出文件目录6 ~5 l9 U# G) O
- }. p1 @/ w6 u4 x6 y3 t
读取
g1 g/ [2 ]" l# }& d; o) A; R% T8 k& z- ~# t3 A7 U
(允许将来自父系的可继承性权限传播给对象)
1 s @, r. L) f& w
4 Y( m* f& I# O% ^# v9 Je.\winnt\system32:& I" q* G3 G5 I, ^1 l( B
) e, p- C) X b, j
选择除inetsrv和centsrv以外的所有目录," T/ e- V1 Q' ]5 o9 Q) L3 A/ G
6 ?* H- j9 c6 G" P; ^& `
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ D/ F8 x' D/ ~4 b0 r# a: s" K& j! v+ v6 \$ t# B& N8 W0 Q
f.\winnt:
* Z9 O0 H: g( I. _8 J9 Y& K J) g( Z. [5 w
选择除了downloaded program files、help、iis temporary compressed files、
* l' q7 ^6 j+ k! O9 I0 b' q; p. \4 G0 ^9 z8 O0 R
offline web pages、system32、tasks、temp、web以外的所有目录0 Z! g$ C9 l- F/ x0 P# a% l) O* R
8 Q7 }* U5 h* ~$ {2 ~# u: w. A% S去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% J% @# q+ I+ D. x# ~9 p& M! h# O& w" z* N% Z
g.\winnt:
# F; b+ P! U7 q* k: m) i
, j4 Q* |; ?* e! b( f1 ]0 xeveryone:读取及运行. o/ M2 V/ z5 a* @8 k! g1 F
5 |5 ^* J B7 S5 g列出文件目录
2 J: Q$ {- t/ j4 O
6 ~1 V8 h5 e7 n+ Y- P/ r& s读取(允许将来自父系的可继承性权限传播给对象)5 q6 k4 |# w) a. o! f, `2 M
" J0 c( x( |: u6 th.\winnt\temp (允许访问数据库并显示在asp页面上)2 y" g/ _( P ~/ o- h* f
+ L$ l* a( Z5 d$ i0 M( g( i
everyone:修改1 t* ~' M$ s1 p& p% f
' n0 _) H1 R9 B. B3 X/ r
(允许将来自父系的可继承性权限传播给对象)
. |. D7 `# [/ ?' \" H/ K4 r' p4 y) r/ e, _
10.如何隐藏iis版本?% h) x( K0 z! U2 R. w
) J, C: k. _0 h+ t" _6 Z一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 X. V1 e; W7 G
' d2 O- ^* b1 tiis存放IIS BANNER的所对应的dll文件如下:# {5 V. e9 \: e" V6 c8 D
9 f ?2 V4 P+ W& Z* t$ `" |
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL1 W: p6 l) m8 X4 }' w0 a; e
! k8 i/ Y4 E0 s" w4 G/ ^2 h& aFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
) V% c' s- L. T9 f9 K' `
% v! Y5 | R" `! oSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
" t: @8 m$ b. ~+ b- @7 b' V' o/ s% m: _* ~# s v. f
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
4 g+ h( l% w- m" T+ ^* _& ^3 l( Z
具体过程如下:
0 `! [4 x' \% _9 ]+ A9 X4 N1 L
& I, P: v0 k' A9 G/ \& e3 q" j1.停掉iis iisreset /stop
8 W0 O8 }% N& ?% A) D( i) J. n* }
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
9 p. i3 c$ M8 k4 }5 N. p2 d
' X+ }0 M$ x, I6 Y( W3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡