|
|
1.如何让asp脚本以system权限运行?
! }0 m8 |( A! \: P- O5 R8 T+ Y a
! H4 Q8 c! z ]/ }# q& p0 e) Y修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....: A) X3 z- o7 S& O
9 s3 K) F I. T6 z2.如何防止asp木马?6 k B2 T# M6 E! x# \+ t0 F
7 ~; `- Z, c* b; d( {/ s7 z
基于FileSystemObject组件的asp木马, P& C: n) t" _( K* R0 g9 J' z
6 k; f% y+ S. s4 g) y3 h- d- ~) s5 g
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用% q" p+ G ^! q, L6 t* n
4 S& ]+ J' G( I1 G
regsvr32 scrrun.dll /u /s //删除
1 h( }" r7 w8 z1 Q o
5 }& U, l# B9 ?& s' t) i6 G基于shell.application组件的asp木马) S9 {3 x2 S7 @6 E0 I
7 g: t$ F3 m; k& \# W, Y: G: jcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
$ U# ~' F9 p. D0 D& @* K& U6 [5 x+ Z4 x! Y
regsvr32 shell32.dll /u /s //删除# }# P1 \" o$ L' d9 H) w
. j5 B7 ]7 u7 x& B1 c9 c3.如何加密asp文件?
3 I* b3 J1 @$ M8 Q" G
! u( N7 w& \! z3 h! A+ e. y) A从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
) y& s' @3 D# J2 ~+ k. p) f1 K V
1 n6 u* l. J4 v安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
+ f/ O/ z3 h Y, i5 Y8 W ~5 O8 k C' R6 C) U
运行screnc - l vbscript source.asp destination.asp
1 I r# I8 y; F/ e
. `6 G2 {3 Y1 c& P# K& {生成包含密文ASP脚本的新文件destination.asp- t" A% h0 E0 Y" t1 j
" u, ?- T7 H: j2 M) o) p! Z+ j
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* N' m5 E: I0 L6 G) \! E6 b8 V4 [$ S2 b; L5 \, L* k1 A
但无法加密中文。2 G! D$ w* g$ |5 A7 ` i4 M8 d
/ W7 V+ B q+ E4 W6 e4.如何从IISLockdown中提取urlscan?3 e; v7 F. ` b
( b$ W0 J% S8 Oiislockd.exe /q /c /t:c:\urlscan
, A) a, {$ ]$ V
" C3 M) J) |' e7 p5 K9 b9 t5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
, a; Z# P& Y1 v. P+ G- X q8 b& Q2 K6 @7 ^
执行
3 l8 r% `5 f$ S E1 g5 Q1 d. Y
! C1 ~" c& ]# A% O0 y) I Icscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True4 H, i I0 p" ?' `
' N( \7 |3 z) x# C# a; Q9 ~
最后需要重新启动iis
* R* I5 ?/ X7 V% Z. v1 G
R" s4 J1 a% H1 F8 C$ e6.如何解决HTTP500内部错误?) U9 v6 z4 [. @4 i) k5 }. n
\1 n' u! W1 `% _' C, R1 q
iis http500内部错误大部分原因
2 W, e) P7 ?9 C! ~# X3 s) g# d- f+ J6 x) t f
主要是由于iwam账号的密码不同步造成的。
( G. V$ P3 ^ o; q, e o7 h! K6 f& q* X( Q7 V
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
' y7 w- A8 L9 s2 k& O4 _4 \6 Y3 @7 O! g6 A. H" J4 |
执行
) e8 b3 d/ r ]$ t, J: R. n& C- Q5 c+ y% P, W+ _
cscript c:\inetpub\adminscripts\synciwam.vbs -v
1 G* N4 l' H* t6 [/ M9 p% m. n* G$ C4 \& h: {4 [" J
7.如何增强iis防御SYN Flood的能力?
+ M1 Y$ Q0 O6 ^2 l9 e; }7 C( Q A7 u7 V% J0 i& d
Windows Registry Editor Version 5.00) Z- L( L- k( {
8 ?% j" T5 [" G1 |( ?7 \[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
4 D& w; d7 }5 F7 [( n/ u2 h; n- a6 u2 ?! T4 J. T$ M3 X
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
* C) ^7 y! `2 y6 _* B
" N8 m+ t4 {) r9 C安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# g( J- d6 J' G* F c6 Y4 G5 Y% |! i% e0 }
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。' M) l' m8 |/ }9 o* V5 z" k7 q
7 J4 _& _' ?% r/ w. h9 X# h% e; w"SynAttackProtect"=dword:000000023 ?7 d3 R; l1 W$ _% ^2 q
1 X$ s7 x# x% \/ Z; }* {2 y' C+ q' c同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
$ Z7 j' d! m {2 j( j6 r" I, Q) d5 g! |& H! W) S: y
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
: i: ]9 Y3 Z4 w: J, M* N# C! ]# i# M% H! I/ E4 T+ P% v) M: d' j
"TcpMaxHalfOpen"=dword:00000064. H. b! F! A r$ P2 k3 {$ E
3 a' X) x4 Q! a- K: @判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。) m3 q4 k: u* X
% d2 x. R2 k, k6 D" q5 b9 C* [% J6 M" h
"TcpMaxHalfOpenRetried"=dword:00000050
# w, v5 P' \( s2 v* x
; _: a- g2 l) m) }. K+ A设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
# B& I6 Z7 S* L# L. v! z- k" X. U# ?, p" i' D1 q
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 |5 n9 d$ o6 ^+ W D) t' o
2 I m) ?$ \, h' l3 r
微软站点安全推荐为2。
0 a% V7 P; J' s7 H& i
8 u t& c3 Y) n2 P% }"TcpMaxConnectResponseRetransmissions"=dword:00000001
6 n# C& e* q& `/ {: ~9 o1 o1 i# q. j+ O0 ?* {
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
- I+ Y2 r: q1 X. v3 c1 n/ J3 K+ z5 z( O. C( U$ L
"TcpMaxDataRetransmissions"=dword:00000003* B$ H8 f6 {6 ?: |
+ p0 D* v ~( e- j' G$ ~设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
5 ~$ {) l8 V1 b1 E/ S% R
0 c' K% H/ M' m K, G# Y8 t& c"TCPMaxPortsExhausted"=dword:00000005
* x/ ~+ _$ W1 w" O& J+ [" `; h& x7 Y8 J \
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的& L6 n9 {& e' P Q( B1 Q' p0 z* z
9 e9 o( j5 |4 Y$ L3 w9 N; y
源路由包,微软站点安全推荐为2。
: y4 e% `; t7 W
2 [' k3 Q( o i0 ?0 A# r* a"DisableIPSourceRouting"=dword:0000002& ] V$ x, X% o% ^6 m
1 |$ b4 x' T# D3 W1 s
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 I' t. Y i3 u
) V; i* G& q$ Y: @4 l"TcpTimedWaitDelay"=dword:0000001e
2 s% q2 ~ {+ ^5 e
# K0 P6 N5 [1 f; w- \. \8.如何避免*mdb文件被下载?
/ M: U9 z* j7 r" M
! K% [2 s; C3 D6 x* S" I安装ms发布的urlscan工具,可以从根本上解决这个问题。
- |- ~+ b& F6 R1 _# ^ z, U, N
5 P: f( o" b( l7 G同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
% b! u( f" U' J) m( s& ^
' t/ {# z5 b6 M( G9 k; k& u9.如何让iis的最小ntfs权限运行?
+ B+ Z: |6 G# \& l$ ^! \3 b4 B) c( n D+ w6 e# x, |, p `( Z; V5 [
依次做下面的工作:
$ p+ k4 S) l# c- P- T8 D" r% t* j2 J, ?( ~; X4 L
a.选取整个硬盘:
2 _8 R. [% i" E" u0 r x' v% n/ ]: N9 ]
ystem:完全控制
. M7 U" P! f/ S s* e7 c1 `, c( t4 P; m# i0 Q# N9 c
administrator:完全控制7 R6 v) b* w) W: W9 I# e' z
7 c5 Y% K$ [7 a4 ~
(允许将来自父系的可继承性权限传播给对象)4 m u/ z; r. N3 N: j
7 F8 E/ s/ Q; e h' X.\program files\common files:* {, R# A: ^1 E7 I7 Q' x
% P/ i) d& V, l7 Meveryone:读取及运行/ \2 h% Q1 i+ v
! \" @% B+ ?/ S0 R x9 L4 v列出文件目录. q/ ~9 Q8 b. Q! `! e! a3 Z6 B
`7 i& [" ^: {5 B- ?0 `' R读取4 j+ V1 P5 U( v1 J9 b- A9 }; h0 v
; x2 |" l. E! |(允许将来自父系的可继承性权限传播给对象)
& v; @8 A5 ]! I6 q- j. T4 l/ G6 ~, C. N
c.\inetpub\wwwroot:0 |% F/ ~1 f* @( A. R
7 W4 a: O4 }- o& ]6 R% fiusr_machine:读取及运行4 P5 @6 ]& p. X2 _
3 G; `- p) w" Q* A7 _
列出文件目录8 D0 i' G) F/ s/ A
/ @8 B8 b# M F1 J! S1 _读取: v9 i) Z- P9 x* l) G5 D
& _) D- t! o- O; t0 k, w0 g(允许将来自父系的可继承性权限传播给对象). D6 |: F3 ?6 q$ ]$ m- \! Z1 a
0 R+ h# x$ _% E* ^0 D3 @0 @/ |. E
e.\winnt\system32:( {8 `! ?5 _- q' {# D u) L
6 G1 h/ Z: S4 N选择除inetsrv和centsrv以外的所有目录,
+ a+ ^1 X$ H' |2 K
1 g% w- b8 p6 ]/ P4 `$ r去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; V* X1 E; D7 E! M# J6 w+ r& M! t U6 Z& j1 X0 k
f.\winnt:
/ i! p+ w+ W: \- |, Z& l! q# A- P) d: N
选择除了downloaded program files、help、iis temporary compressed files、) d; Z1 `$ {8 n& X* O1 H/ |
. u" B8 w q7 qoffline web pages、system32、tasks、temp、web以外的所有目录
- N4 f R2 e4 o3 D
* M3 l$ E: {3 \4 h: F Z去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( e& G1 O, \! ~3 L
, \. N* }/ P0 }* x' D$ T, hg.\winnt:1 `0 P) p0 a7 d4 P
) c2 F# W( w5 l( ?! b1 b1 L+ S6 severyone:读取及运行8 N& K- w; X: I `- h' w- E" s7 S
( e1 N. B* Z4 B- ~& Z列出文件目录
M3 H4 \( k' i3 A9 P& B* g4 |# t# P% p* _3 }. w" Y7 e' J$ N
读取(允许将来自父系的可继承性权限传播给对象)3 e+ [1 l, c' X Z' ]* e; D
+ q& F4 G+ m0 r1 f. d/ k2 j
h.\winnt\temp (允许访问数据库并显示在asp页面上)$ m1 B2 V) ~5 I% s
- ]& q' o7 i3 R2 ?7 h( Y' ]( Q3 t
everyone:修改5 a6 H2 @+ }# L# ^' {; H8 @. D: ~" p
9 M! O& R _1 s; |( {( I(允许将来自父系的可继承性权限传播给对象)
( \( E0 c4 {" x/ N
) Q# \4 D9 P6 ~! n8 s5 `9 d10.如何隐藏iis版本?
4 L7 F X7 L. S: R I, ?
$ o+ X0 v$ G u- W9 p! Y7 Y: r一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
3 ]" K2 w' X3 _7 t" R5 C
7 E8 \% H0 x N+ l- U$ A I% \% jiis存放IIS BANNER的所对应的dll文件如下:
/ [$ Z5 g+ l! N9 O% R! d' b- c" \
1 B: F: j& a$ k- T; P: R" Q) KWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
- e* Q7 E T+ f* X+ p
% @& c6 Q) l: y) m" v( t3 r/ H0 g/ V. _1 ?FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
4 g# E( w8 R( C: ?% V, M- ?" `3 {$ b& z# X
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
8 N; v, _% _3 B
& i' x* Y9 }3 Y6 e; @- Y你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0( o' ]- a. X4 t* B5 Y5 U9 a
' y3 H0 c/ v! X; J) e! u9 a. U3 S
具体过程如下:9 B5 g: A: J( k+ q$ N% A% ^
7 L+ _, q4 s0 o: e1.停掉iis iisreset /stop
+ z! @1 P1 c# Q# J3 D; a( U
4 C* F' V# ^! a0 y; h; F2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件+ v" S% G% B- }' D4 [! N
4 l* i8 K$ o) D
3.修改 |
|