|
|
1.如何让asp脚本以system权限运行?6 M6 J% S4 @9 N! K: _+ Y7 g
8 G( t" G J* \* w9 w) c
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"..... n6 w. A, t- [
0 t0 a3 h4 D+ F7 O7 t
2.如何防止asp木马?5 ?2 z' r+ z4 H" J3 \* ?
) q/ P2 ?( s2 a" g# }" ]1 I& `+ T" @
基于FileSystemObject组件的asp木马
+ Z2 r/ h3 u2 e* r; i! n1 z/ M4 J
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
4 }8 y2 R, Z" W3 L# ~4 R. Y- D( M+ L* R
regsvr32 scrrun.dll /u /s //删除# B5 s: z8 C' v. Q( I4 C
! [- _4 |5 Q, }! P8 W
基于shell.application组件的asp木马
* K B$ \5 i; a, N7 C+ H8 j# y% F
; \' I9 m6 V; s acacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用, b- f* j- [0 h
5 L3 W$ x% e& m f4 a5 m+ Qregsvr32 shell32.dll /u /s //删除
" m6 q; S/ f4 j# n; z/ _) {. }( A- f9 }3 c d$ i
3.如何加密asp文件?9 }* w; G6 B) X' `& a2 B3 n, B
5 T8 i0 E) q6 U) O3 l* F7 V) U! G从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。9 R5 V" ^" c1 k- g/ Q8 K! l2 s
8 o/ Y2 a. g! h% Q安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
5 R0 w Z* S* R% G4 L) I( w# s
$ G* i4 [6 f7 ?3 |/ }" g运行screnc - l vbscript source.asp destination.asp
: A& Q0 n+ A O$ `* l4 H3 e
2 k/ z$ ~9 _+ u生成包含密文ASP脚本的新文件destination.asp
4 `6 L# m" O2 f5 z6 A6 e; o+ l. b- c) ^: n4 a
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了% g7 i* q! }+ j, L2 K$ J
$ e/ ~" |" ]4 q! Y但无法加密中文。
# Z* m+ p& i! {$ ?6 a7 [$ m& T: R$ ?: ~+ V) O& i5 q
4.如何从IISLockdown中提取urlscan?
1 u% {" [$ p# |) Z; ^; N0 j' V' H5 N6 e {- V' V+ y$ q
iislockd.exe /q /c /t:c:\urlscan
$ z( i% `9 d- y& G S# G0 Y
! b- p+ {2 H" X: |5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
5 F) m9 o( A8 U+ n/ z) j+ R
9 M! i$ p' Y4 i# D5 e0 y! N执行- p3 E/ k' g2 [. R
1 U8 Y9 {% I6 L. B! \+ m/ z/ `cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
$ n9 p# O' D8 U% \4 r3 B* S( @# h
- t. h* m& M& x: C+ Y2 ]" R最后需要重新启动iis
2 \+ Q% r7 P9 @2 o/ x; H% [1 `; w5 q9 s9 w- Z8 x% y
6.如何解决HTTP500内部错误?( f. I" P# i! M% l @, k- e# v
8 m# |- J: M3 I6 m9 |2 B4 Hiis http500内部错误大部分原因
. J- c& o+ i |5 M. C! J" d
& m( C0 y6 b7 B, o# m: }主要是由于iwam账号的密码不同步造成的。
- {8 D. \: q! j' n) `. d' f' f( o% [6 e1 j: z& W q: V
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
- z8 _/ f6 _8 j, f P p4 u$ ~1 k! s$ R
执行2 T$ ?$ B [7 ^
; b7 {$ T4 t( s1 O, c' ~4 Xcscript c:\inetpub\adminscripts\synciwam.vbs -v
! v# U! d5 S B% E; G2 o b; X' C# @% L/ Q* x
7.如何增强iis防御SYN Flood的能力?3 p, C+ u$ _& G/ U- _5 ^
7 p9 K2 L/ {1 x X/ {
Windows Registry Editor Version 5.00; M6 H0 ~2 `4 L; r6 _
z5 t8 q8 A; ^[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]# a. X$ a' \: @: p% K6 t
: q/ x) T5 O+ D k启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
4 p$ R4 g) e- D
8 a; Y7 P! m0 V6 R [) n安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
0 R( E3 h$ r3 I
9 A/ z6 C/ {1 a: L/ { Y9 \: C8 j设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。( E6 w7 b( B7 S) l' J$ Y) i
$ o* C! w) \# n( s
"SynAttackProtect"=dword:00000002% U; x5 ~' |3 ^8 n( ]' G$ p8 s
3 X% K; _% F) m0 O6 K# x同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态0 Q( h; o4 v/ ]1 J v) g2 x7 p
8 b3 w# C2 T3 @+ p( _的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。% v/ ^& k0 b' D( z2 M
3 A% B/ P) j1 J0 G
"TcpMaxHalfOpen"=dword:000000647 r0 i5 H4 b7 [: J0 J* _+ p
+ ^# f3 t' h o: x3 Q% _判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
. d0 e7 S! B) ]+ A2 f8 q- j4 i
1 m9 Y" x# ]* P' M# Y+ n( Q; w"TcpMaxHalfOpenRetried"=dword:00000050
7 T' T8 C( B. @8 L7 A& v/ U6 ^, y( A. Z
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。" q9 i! n1 E! K9 O6 M
/ N" S7 q' ?2 }4 O ]) c, Y- m项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
0 s) p6 o1 M- v: F3 {( b# E. f8 X6 a
微软站点安全推荐为2。7 ^ W; F* X) {7 p
H, e1 O+ f, o3 w7 a/ v4 o4 m"TcpMaxConnectResponseRetransmissions"=dword:00000001
! v. q( A% n& {9 h% d, F2 @3 M# F4 m* m
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
. t5 Q$ L" y( d# |; T
7 i" z% \! Z I; Z* O; |7 |"TcpMaxDataRetransmissions"=dword:00000003/ h& B% X: t! p# Y
) L7 t4 r3 y1 ~1 V' b8 T设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
7 R, a" q# s1 I1 t) J
) Z" L D5 x3 _( I" X"TCPMaxPortsExhausted"=dword:00000005" X) h3 P' Y: b2 l9 F
3 Z' v/ N7 S3 L! O禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
& f' k/ Z. {3 ?% m" d/ y3 i: ? |3 D
源路由包,微软站点安全推荐为2。1 ~; d0 f0 S7 d3 K
8 X }$ J( Q) [3 @1 k; h7 ~1 F
"DisableIPSourceRouting"=dword:0000002 P. S5 e. o @7 H" t4 |
$ f" p( Z7 v2 D" m4 k& d. M
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。1 }, D# V6 y! q9 g9 W" M2 @% A4 i
. l, N1 o5 S1 Z5 _ ^1 Y
"TcpTimedWaitDelay"=dword:0000001e$ M# A b4 I0 N3 C% A" B2 F; w& r$ x
% p+ T6 I: b$ I. C3 V2 I$ `8.如何避免*mdb文件被下载?% c' d& X) e+ M7 a% w
! E8 u' v8 \0 B4 u& `. E+ `
安装ms发布的urlscan工具,可以从根本上解决这个问题。
1 s/ u. [ @+ `2 s5 B
8 h" }: [! Q7 S同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。0 S3 R0 j9 ~; a8 w3 o" N1 b1 J
v/ U2 {# O) Q0 r) l9.如何让iis的最小ntfs权限运行?( n) U1 o- G/ y2 E
* `- g) E4 K/ w5 ?依次做下面的工作:
: T/ O, Y2 G) O9 _9 J; ?) m2 o3 I, X& _% {5 {
a.选取整个硬盘:
" _0 L8 {& e( q6 t; }/ Z
# ~/ J; q) I8 L- Nystem:完全控制
% ?6 @1 k$ s9 F
]: Z/ h' R0 Q0 Hadministrator:完全控制: B5 n' p7 Y$ }2 T; k; ]5 p6 S2 s
; a& _8 {% Q; X. h
(允许将来自父系的可继承性权限传播给对象)
6 O `. u: S2 G! ^/ H, ^/ N# a
7 U! R/ F. A$ e# U.\program files\common files:9 C1 y& ^% ?9 d. S: ^' q1 F
0 P7 v, D$ h! t; p
everyone:读取及运行
% ~1 U) D5 s1 o ?5 @
7 b/ d6 x% u% X; l9 Z列出文件目录
/ P/ b" k% y- v+ J9 h' g. C& t* f1 a6 c9 Z1 ]1 k
读取
# H' E8 ^5 B5 w0 n& W9 x# m9 }. `/ d7 i3 V- t9 t- ]' K
(允许将来自父系的可继承性权限传播给对象)
. |# i& i7 \- A; u) S3 L# w# U+ s) q
! m+ i* e6 |8 c% {7 P/ d8 W- Ic.\inetpub\wwwroot:- R+ ~/ @6 ]: v$ c
i$ F( r+ u7 F2 b
iusr_machine:读取及运行
& m1 E2 J8 R- {" z. U
( o3 D# F. ?2 W8 e/ R! m' ~列出文件目录
) w6 z m# V: a7 z+ S% J9 s- W# t
4 ?! R) ?4 o. U. _6 |+ K; @( u读取0 _: c+ t# T2 e7 [
2 ~. x( Y9 ]$ y' I3 `* _' W0 [& T(允许将来自父系的可继承性权限传播给对象)
2 J2 @2 Z2 L: k: d4 [# S
Y9 w( h1 L3 g8 N ye.\winnt\system32:
( [; N; M+ P# h' v7 c" a3 T9 N7 y. X+ y) t
选择除inetsrv和centsrv以外的所有目录,4 e7 m/ C7 `. ~* P+ a7 H2 L3 \ |
- I9 o. f8 m% `
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 O; ^* t% |% U* k6 M3 w- r8 K; V! _: }# ~
f.\winnt:
% O: w" [ g1 _3 ~- S
+ e- ?; X- o4 ?% e选择除了downloaded program files、help、iis temporary compressed files、
( o8 @6 i. L8 j- r9 s1 E
0 f5 F5 R" k, T \offline web pages、system32、tasks、temp、web以外的所有目录
! y# |; w$ v$ w/ k3 q/ G a* |$ }. J: y2 d
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。, l; q; Q9 U2 `1 _
, f( A' P; Y! G# z
g.\winnt:( w/ ?2 m% G) j1 M% @& D
) a. t9 `' s* o- |( Neveryone:读取及运行
& Q9 j9 [. E1 p+ g' ^6 d9 q$ X6 `% J* G
列出文件目录
2 {* c* _1 l5 o. S: I! F5 h9 W# i/ v& F8 u
读取(允许将来自父系的可继承性权限传播给对象)
% y- \% p- P. p$ h, T$ n0 t
, c: r# P& r& Oh.\winnt\temp (允许访问数据库并显示在asp页面上)3 |7 _' {7 y2 z* u! f% W
m% u% `. l! {) h# G
everyone:修改# n5 M( Y" P4 a( n$ V" C5 I
, T+ t( c) v: z& q7 s4 D(允许将来自父系的可继承性权限传播给对象)
7 V2 E4 X3 x/ `; w- M0 x6 b/ l& q6 M: w9 k
10.如何隐藏iis版本?8 a: y. }1 w' }6 N
- H3 Q( O* b7 H6 Z8 s一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息/ G8 U& x0 E; [7 ?2 A9 ?" z! H
* A( h, F+ ^3 [. g" q! B
iis存放IIS BANNER的所对应的dll文件如下:
8 F7 M) \9 I' Y2 M3 a9 i* c$ V& o% P- D1 k
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
) W# f2 ~4 K3 o/ r. U( [+ ^" o2 u" _8 [9 i
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
: ~' _' u8 x( Q+ H
8 A; V0 A. i9 i+ h9 \6 LSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL; r) I) h: I2 y) ~
2 H4 ~& J( M5 P: N
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0& v% \+ J- z/ z( h+ b0 j
. r( ^8 Z. i2 J* M9 v; e& J! F
具体过程如下:; o- m% h2 R3 ]+ p; i# H+ e
$ h3 {0 ?4 O$ S# d' c1.停掉iis iisreset /stop
1 T5 q2 Y4 ]/ i8 G. i" F! a* h9 @9 h1 v2 s7 k+ J
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件3 S4 ^4 f: T' Q: K
2 O3 e1 ]' `# @9 D2 Z6 S. Y8 {3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡