|
|
1.如何让asp脚本以system权限运行?
6 ]: R6 n+ l3 M
" H% D* j1 k' Y7 r: m2 }修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% @, S8 C0 s: d) P
& `. A" D: I6 Y' A( P2.如何防止asp木马?, t- O1 W( S P+ V: j" J
% E k' i. a7 d/ c; J8 J- e3 z" o
基于FileSystemObject组件的asp木马5 |7 u7 p* d8 u# {2 A$ k$ a
# ]3 |: k$ x' g8 v! w' m9 ]% E; P
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用% s L; q2 w6 w; }) ^& p4 i
- o7 s6 {1 U2 j
regsvr32 scrrun.dll /u /s //删除2 r1 ~' `: Z) H0 D: a5 C
. f( }5 I4 k+ }基于shell.application组件的asp木马8 l2 z, C. m' n K2 u9 l# `) h
! ` P8 u# x' [$ t8 _
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用0 Y0 j5 ~2 i% U. Y" _, b1 f
+ |# d, X7 g5 P& j3 D: q/ U$ Mregsvr32 shell32.dll /u /s //删除
8 Z0 A' d1 s r% V$ w
- q7 S. v' x4 ~6 y6 m5 C. M. N* n3.如何加密asp文件? ~5 }6 _) u$ U$ |$ L
6 H# R$ K. m0 [- a" d$ f
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。. p# ?# c0 f1 h' K: W
: ^4 i" o- @/ O' f安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
# K1 n9 \# V5 Z+ Z1 i+ y- y; L+ h' W. z3 m
运行screnc - l vbscript source.asp destination.asp
' U% N& `* m; j. p, a6 v8 h8 Y$ C& _ l! P& I, _& G
生成包含密文ASP脚本的新文件destination.asp. G) ?' J3 L+ f/ \7 l& z8 E A2 ?2 L
0 @/ D( P- s. g, y8 N7 \+ O
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
- V9 y- ?" n+ ~ Y9 B) C, x8 P1 A7 j7 A8 g4 l0 d
但无法加密中文。, W) x/ P# Y2 ]
( b2 t* Q( h2 C' s4.如何从IISLockdown中提取urlscan?
5 d4 ? V2 q# B) |; m& S
" A5 O" u/ P& W2 c4 s' aiislockd.exe /q /c /t:c:\urlscan
8 ^9 u/ H; o! ~3 h- D4 x6 ]. ?6 ~+ X* Q' C& h U/ f
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址? [# ^/ A8 z& N4 D
4 E- W3 V& _- I8 M1 L7 I
执行( n& `2 x) h6 z" g
3 l) g5 F3 @) K$ i
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True [7 \' _( o4 R1 M9 u8 Y
6 T) V6 `; p" _- |( a
最后需要重新启动iis
1 q) [( C1 I w. t4 c
2 v' w! a6 H; p) e0 E0 a" l6.如何解决HTTP500内部错误?. @# l$ H3 g1 M) |
8 t& I U7 j# n1 @
iis http500内部错误大部分原因
3 B" K+ _$ \3 w" {4 r% A7 _$ b$ r9 Z, Z7 m6 t, ]: Q
主要是由于iwam账号的密码不同步造成的。2 l1 Q6 M0 A. O0 {% T) q- e) B
A. u0 B' d: d# S' s- T, Z我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。4 i8 P9 u: j4 J* `; p0 u4 P
$ e m; c* _; C" U6 a( M8 q执行7 M0 l# \, {# G
]2 w0 t+ W3 U7 j1 X8 \
cscript c:\inetpub\adminscripts\synciwam.vbs -v
) P. n$ |: n' O; \: l# H
' X- q1 }3 D M5 k9 L; Q: i7.如何增强iis防御SYN Flood的能力?# U! s( y* y7 Z( h& S
( O) x# ^; `: X) w1 L6 rWindows Registry Editor Version 5.00
/ z% [: G. k. I1 h7 V# e5 c
: S& }3 Z5 r9 }% V5 T" p[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]8 J7 b0 K, u: M( J# {0 Q$ j- t
. X! Z W! d0 ~5 T" s, I
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
' P3 ]8 l0 K4 X) u: f g8 v) @7 B3 M/ b4 d9 @
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值( C, Q7 p/ d7 x6 c
5 e1 C# M+ t( l6 o设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
9 f0 T/ P" e5 D3 B8 S0 G) x2 w3 f3 u8 G' H
"SynAttackProtect"=dword:00000002
+ f. J4 {& o9 j& n4 k) d' X5 l! {; A1 V( ]
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态' E1 |, g B7 F
4 d5 S8 v+ `2 m
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
0 v! u* U6 C0 S8 n' ]5 f+ q4 G/ ^" u3 u3 y
"TcpMaxHalfOpen"=dword:00000064
) U4 a; O5 Q' X5 B9 B! ^% E6 z+ j
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。5 E! C& w7 J7 u- R \. i
) x$ @! a& o& t* J, b& P! m; F"TcpMaxHalfOpenRetried"=dword:00000050$ `: V7 t* o( h6 f/ M B2 `! R. d
0 ^( z1 s/ T. n; v+ ^8 Y
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。7 F: F* `7 d: Q( c9 y
( ~3 h, t$ g V1 b
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。% b1 b. G: \. g# ?
7 g* k- Y# c& m. x8 y
微软站点安全推荐为2。2 G) a1 F) V* T/ u; ^5 Z
1 U; ?, ~7 m/ _! ^7 X
"TcpMaxConnectResponseRetransmissions"=dword:000000010 h& x+ E9 a6 N, M: [2 z" [' I' L
7 E& N: X3 X8 N' G2 G9 i w4 b6 h. _
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
5 l7 G& ] b5 O- V. I/ ?% M+ d! [7 K0 Y7 J( ]$ B+ x4 e
"TcpMaxDataRetransmissions"=dword:000000033 P9 i! E3 h0 p9 T
* F# d: m \; h) d) P, q9 k# {- \设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。0 G& J1 b. b4 U* Q( E* n
1 o, U$ A. @! U
"TCPMaxPortsExhausted"=dword:00000005
' Y) Y8 X# k8 r) i; @' g' B, F* ?. j6 O: C9 Q+ T. P
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的$ e u( ?( ^ r; ]' x
2 X! f; i% t2 S d4 I3 ^. ]: t5 G0 {
源路由包,微软站点安全推荐为2。
4 o1 n% |) q, h ^: W6 z) j2 ~/ h* K( h, O- w
"DisableIPSourceRouting"=dword:0000002
; S, @- S. Z' m4 ^9 U
; G8 k& {$ F8 A2 P7 N7 h限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。* P! u/ |& T/ F A) X
9 S, R5 d% F+ U0 {4 b, a$ T"TcpTimedWaitDelay"=dword:0000001e
3 Q" m1 f. o& N# T& B
/ \9 S- h, Y4 J9 F3 \# [8.如何避免*mdb文件被下载?0 ]) e3 ]+ d, l: V2 |/ q
8 @. v/ R0 o: Q安装ms发布的urlscan工具,可以从根本上解决这个问题。( s" ?& _/ E) v; c( d9 p
+ K/ J- j" g$ g1 ]; B, a
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
$ S; e5 D9 ]* }+ y
1 F/ u1 Z3 {5 Z, t$ f; W9.如何让iis的最小ntfs权限运行?/ X$ [; j- F: s6 A6 ], ^3 m
9 \# {4 W' E# X) k9 p+ y依次做下面的工作:0 J3 O4 \" u; ?; b! {% k) n: r
& j0 y6 P. f- q( e- |3 Ba.选取整个硬盘:* `0 Q8 A& y6 O. f, r/ n
" L9 F$ i' P2 S
ystem:完全控制6 M. C+ s, \- [, S+ \8 \
8 o/ X* v5 {# m Q/ u" P9 dadministrator:完全控制
/ Y9 D$ |9 N5 G3 b& d N
4 M8 K# x$ K7 B" o5 Q, ?& w(允许将来自父系的可继承性权限传播给对象)
- v, C) u7 v; ]- } a g ^" n( P& I/ d4 E
.\program files\common files:
5 ~; X* ~% M+ B2 `* u) B5 s& \; g/ h% i
everyone:读取及运行1 O9 D0 O" C! X1 m$ j* \9 ?
! a+ M/ ~# r- C) g2 i1 L" V
列出文件目录
- f3 f' |+ \4 S
+ t* [ Q) o- D2 A7 v3 d读取
2 D9 s+ T* @( N2 N$ j6 m. L: B( h2 ~! I2 D, k. C9 v7 g! S \ a
(允许将来自父系的可继承性权限传播给对象)
8 f& Z: |* U# o6 Y c/ u- O' j2 Q/ q9 \! D& C
c.\inetpub\wwwroot:
- ? w6 N G4 m- `5 u" D7 C; j: ?& J7 S& l
iusr_machine:读取及运行
9 o% C7 q. L% C8 y
- x) b* f' ~3 ?& a( ~* h8 ]列出文件目录. T$ }/ ^: L. P+ B$ E2 k* M6 q$ A
+ Q# w, |% P' Z2 X) |# \1 c. \
读取/ B! {) {( |/ }; R4 B( g
3 E7 D" n. _0 n( Z3 j! D
(允许将来自父系的可继承性权限传播给对象)
2 X4 y% `! g" d+ s; s% u/ a5 U5 l* L8 L2 |# `
e.\winnt\system32:
2 {& N4 ~( d2 Z6 ]& D, w) J4 T: p+ u9 ~. X
选择除inetsrv和centsrv以外的所有目录,
8 U: j- |2 d; l. [5 t% F1 X) P1 @: ^+ Z# r* @
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
, r$ }' U# r- i
, D' C# D+ x7 c0 Ff.\winnt:
$ m5 s" T9 ~6 i$ K+ C1 X6 ^, S' N$ C
% P% k8 F* ?3 B i6 U2 l选择除了downloaded program files、help、iis temporary compressed files、" B$ K4 E1 J5 N) p9 O, \
# {$ B! |6 P7 |offline web pages、system32、tasks、temp、web以外的所有目录+ C0 q/ @' u+ }0 a
; W7 B! r; [7 R: a! r6 H
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。7 U9 h# e2 B* C9 p1 Z
0 j! K+ _) m6 Y! y0 d* Z
g.\winnt:
( p2 W, f/ u$ t; a$ P" M+ W
9 W/ g$ h7 g) v' {) w' A: Veveryone:读取及运行
/ E% Q) ?- X% K
3 q; O* x3 Q: U9 R- c列出文件目录
& y4 Z) S( \/ M" s
5 [ Y2 s* W( j0 R9 x) S读取(允许将来自父系的可继承性权限传播给对象)
Q: K6 y0 ~8 ~8 h3 n6 P! p1 g" Z% x# C$ o# c! Q
h.\winnt\temp (允许访问数据库并显示在asp页面上)
; ^" z/ a$ s8 R% C. w
7 ?9 x1 |( C8 n; ?! \( [, R% aeveryone:修改. U, W. `0 U$ T* M: H
$ `9 F5 U5 q# y6 k+ _/ h+ e
(允许将来自父系的可继承性权限传播给对象). `/ q7 Q6 Q' Z5 f$ h
3 Y5 B. M8 z2 G10.如何隐藏iis版本?4 E# b, C1 W% L
. ?, Z; X6 O" h4 ]" s1 b4 [
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息3 i0 t$ w2 w& }6 L% \. c T
) u9 W4 {+ g& N- ~: Z$ N9 Fiis存放IIS BANNER的所对应的dll文件如下:
$ ^9 p* n# `4 h! u* t" X, z
; c# R7 Z/ D- s9 r0 uWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
+ A) h X4 n5 Z R2 G/ {0 N+ j7 x# T& f2 n3 ~: ]" |
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
/ `( S) w( P0 z7 x% m& \% E, T
1 d1 g: N ?/ a4 F( Z- nSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
5 T9 \+ C1 x( q
. u3 Q1 s, y2 b" l- }. T# U) V你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0, c j2 w4 k7 L& S6 T- ] x8 T/ Y
( q" N. _- t& v1 d/ t7 l0 C
具体过程如下:5 L Q0 Q# n- H2 F; X
) ~) @4 c' b+ @ s Q" P: Z3 Y1 t6 O- f
1.停掉iis iisreset /stop
5 X& q- l/ L C
: K8 |; S/ k- u/ C! R+ k, _2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
1 O9 k/ q7 [/ @
# K" t5 ]6 g8 M, O, \7 V8 ?+ K, ~$ U3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡