|
|
1.如何让asp脚本以system权限运行?7 d* x( s+ u8 H- A8 ]
2 f, I4 ^+ q5 w" ?( y; ]修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....: |- |2 t5 I& M2 ^; g' b& m* j
; o+ s) L9 e# T4 P/ J6 g+ u
2.如何防止asp木马?
% U0 r V1 @" z$ w6 A3 G
- K! }, Y! _& b7 O$ H. m$ e基于FileSystemObject组件的asp木马
- k1 t! z+ d4 p: E0 ?8 D( R3 @# k. @! U) d
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
9 w+ f: j/ K5 J( ^0 O4 R: a* M+ T( z
regsvr32 scrrun.dll /u /s //删除' g( J' {( g8 A0 ~0 L+ c4 V
! b7 ` A n. h, _0 G
基于shell.application组件的asp木马% _0 d7 J2 C3 T# O3 L8 j T9 N
* C( B. L6 S% C. X5 H9 Ncacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
2 w9 D+ A3 J2 q7 H4 A. ^2 D7 c6 \5 B( P- T
regsvr32 shell32.dll /u /s //删除4 L+ t) i1 |# P: J% r+ l
- c4 y& ]# l- ~8 q3 W; g( Y- e3 B, y3.如何加密asp文件?
R% ^) O8 Z8 z5 t7 i5 o9 o/ r, W) {+ a3 S# s7 q- A
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。/ r$ M; Y/ R9 d7 e1 n1 E) u
, S! z% V' H3 L* O安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。7 _4 C+ p) r% K9 ~! j% ^
* Y! Y1 H; v% T: e
运行screnc - l vbscript source.asp destination.asp
3 O! v) g7 A# m5 c: I6 ~$ |6 |
$ c6 p" \* Y3 Q- j! `0 n2 g3 t生成包含密文ASP脚本的新文件destination.asp3 c* Z; F; T# {- n6 }
& D# u: |( _1 q8 o用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
4 r; b" a. N; F5 `$ T6 k8 I3 B5 T0 V8 `8 t" u
但无法加密中文。
2 n3 x6 n D. }+ p4 _% x2 x2 u) o5 ~2 ?7 H# ~0 e/ y/ T
4.如何从IISLockdown中提取urlscan?) s7 ]1 x/ Y# e- n) S; z$ }# S
; N( c5 b0 U- C7 T" t' }2 S9 t; eiislockd.exe /q /c /t:c:\urlscan) }7 ?& E7 T. \
0 x- T6 I. S/ S1 p; g7 w3 P6 n
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
6 x( a! e( C9 f7 \* u$ j- U6 S
# U! k: C: M% @4 h执行/ T1 }; k+ q% @ d3 F+ i2 {
: Z! c4 o# S/ q9 S; n6 u+ G
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True4 m. t* c9 t: A% u
- J p6 W4 G6 R! m2 }9 m% {5 [* O4 Q# i$ s最后需要重新启动iis- d; Z* d0 j: O" j Y# M
" D+ c( @3 C, R4 v# S
6.如何解决HTTP500内部错误?
$ t, i9 \7 u3 _
" {: C, p9 p7 Riis http500内部错误大部分原因
2 H, ^% n# S+ g% P/ w1 k0 |, M5 d f4 }6 E2 o. G; g
主要是由于iwam账号的密码不同步造成的。7 G$ w5 L c; {2 m; |) V Y
8 H% [' U- d& P: [
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。) G4 y- E0 a+ c+ R' M
# w) b2 w2 P9 ?0 P" [5 M0 ?执行
0 Y |2 n. a1 L8 h! x, ~1 t N) o/ U# }1 A$ ^* J
cscript c:\inetpub\adminscripts\synciwam.vbs -v
1 |8 X. u4 l2 L% D5 p$ e2 S5 H; y7 o7 n7 l% L5 }
7.如何增强iis防御SYN Flood的能力?! E* v9 f, a( h5 z9 E3 h
" s- b* H4 K0 DWindows Registry Editor Version 5.00+ ?% Y( r* ~4 e
$ ]. c; ^. J% T. o
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]" D0 p- T! m" Y& a* P, y: a
/ O1 ?8 W# n: U/ T' B启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后3 K: p6 W3 z- _8 e
4 B7 Z/ t$ w% e* _- X6 m; i安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
' M* |- n+ U7 `4 Y) G, y+ P4 e: ~
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。2 Y0 Y; y# k1 k. }7 A
7 d6 E3 Q- m7 \, W
"SynAttackProtect"=dword:00000002
M" x& r- \! Y. u1 T8 k/ i7 l' ~9 h6 u8 D# {/ T
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态3 ~4 q) y6 [$ X5 {& v& a' L6 g
. w, J8 b0 ]& S2 |的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。. q3 a2 T6 f! l, D8 I
3 c! D5 Q% h3 ^/ e8 I$ S2 t. a9 m"TcpMaxHalfOpen"=dword:00000064
& N$ ~9 M4 D9 b/ d- ], k8 J) a4 R, |8 W8 v# \) a
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。3 r7 o$ \) ~; h: d
- h; l- O2 d" @5 L) A" ^9 v r"TcpMaxHalfOpenRetried"=dword:00000050
0 X' C. I, ~6 ~. s$ e: _
9 u2 v$ N7 h" w, `$ r设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
. T* |: q I+ R6 |: y2 _( Y* q3 T D- Y# u( L7 W. Q
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
2 M7 i5 t. N% ]" c$ n* _2 H* s2 \+ d
1 p- [8 ]7 ?4 S) S' b& |微软站点安全推荐为2。
: g+ N3 K5 M; s0 i+ _# ~' h' O: m7 ~2 Q
"TcpMaxConnectResponseRetransmissions"=dword:00000001
4 _5 q2 l1 [; h$ Q$ B, ]4 W8 }, g/ n. x& d' p
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
+ a* f8 C$ R! r1 h8 t" O9 J& ?% y! M. P" N* n7 d. d- E+ p) V
"TcpMaxDataRetransmissions"=dword:000000038 u& S o& m, D! Y
1 K- `/ U3 T& y6 r/ @0 S9 o设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。. e0 }# b1 E2 R: G9 h7 @
1 d5 Q/ |: ?9 ]+ b7 f a/ T; a
"TCPMaxPortsExhausted"=dword:00000005' q1 |3 [$ q& o4 |1 b( f) ?
3 V4 W; M S) w0 o/ m禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
3 T) v# r" I* }2 b7 f' E! Y
9 m; l$ l+ e% m/ l P" G# A源路由包,微软站点安全推荐为2。# ]9 y- t' t, z! D/ u# B4 O9 Z: f
7 y* P) M8 b8 \"DisableIPSourceRouting"=dword:0000002* o) w. R% l7 X ~
' S* A9 ^( k o" A7 O- i* T, q4 m
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
- y* u+ c. `+ C6 a; K2 }- Y
& ], r: Z Q- q" m' v"TcpTimedWaitDelay"=dword:0000001e
" W% j3 r/ [+ t6 v& O- `/ m5 k5 c2 g+ l% C; N
8.如何避免*mdb文件被下载?
/ {1 j( h5 M) t% R' y: u
; H- h0 {0 ]7 Q安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 o0 q5 q% p b W; w B9 m d% u
/ i' t1 h) K" n% |+ |同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
( V% r7 C( g8 ^3 J( E5 d1 O( e4 o) T/ A+ U i
9.如何让iis的最小ntfs权限运行?% ]# U( d3 o4 v" y* d$ [1 M% P
: I& [5 z7 N) R- Y R( ^5 B6 v6 W7 C依次做下面的工作:2 ]9 K+ f* p) B) x
) t9 `# j6 E. ~( X$ p, @
a.选取整个硬盘:+ x# e( I9 o( ]0 L9 S7 ?
u0 g y3 \* `+ \ystem:完全控制8 T2 K/ ^, k' |6 L6 P; s! _2 x* W7 X9 H
' X! k( {/ f8 yadministrator:完全控制
* b- P$ s' M$ n& t s' j7 `
9 H0 F5 A0 O/ @9 q( N(允许将来自父系的可继承性权限传播给对象)* T( L/ C0 X# U8 h" B1 j1 e" u- u1 i
% r# f: Q1 A; [. i.\program files\common files:- ^. g/ V2 ?* T" i
* Q7 ]5 }* a2 P' d( U
everyone:读取及运行
( ]& G( G3 T1 x* A* e; C& @
% {, z6 A7 U& m3 U) V- w列出文件目录 o% w) F( B) s# p% a( `! J' V! m
4 C, F, i I0 ^" k# z8 m读取1 [0 _- u: x0 ~" R; x( S1 R
" T/ \$ [, z3 C+ w6 ~(允许将来自父系的可继承性权限传播给对象)& \1 D. w; t7 m% t
& [0 q6 _0 l! ^: U* wc.\inetpub\wwwroot:
6 x3 Q6 c3 J V& _( Z
4 W# |# l/ u7 Biusr_machine:读取及运行( r" W- Y$ N" H v# q) V! q* a/ ~
3 g ^) M2 ~$ q
列出文件目录6 g+ h( u9 l2 G0 j m6 E
( Q) ?1 E# B6 L( ^( W/ X
读取
" l8 H" d2 c* P" ~0 ~! U. s5 {
\5 e1 V$ ?* ]) G7 B(允许将来自父系的可继承性权限传播给对象): N r" C% w# w
" i: W ~" J. B$ S6 _: l: l' V1 O
e.\winnt\system32:
$ y8 T+ ~+ C, X9 B2 U& f) ~# l* u' Z3 o, b; N
选择除inetsrv和centsrv以外的所有目录,
8 x* N3 y: g! G3 E' u* ~3 W, Q% d7 |# _. ?* g( x
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。1 y1 }, P% ~% Z, J
) s& C% m2 f+ k" S& xf.\winnt:5 N' X# c. ?( @9 r; E; O9 o
: c! f& S# w2 S; [1 Q
选择除了downloaded program files、help、iis temporary compressed files、 }9 G5 m2 |+ o9 O2 z
, E7 I2 m* }4 |. o- m4 l# \offline web pages、system32、tasks、temp、web以外的所有目录! L& U$ H4 \ `$ ~0 ^! M4 ~' k
8 g: k+ U1 d' C/ w! h: Y
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! ? k1 N. t* U% W8 y: ~) U9 q$ ?
* \6 g* C7 y" q6 zg.\winnt:- B3 i' C$ ~ v- l1 C
3 y: D. T( i$ o+ }4 d5 V' Q( F& S) J- {everyone:读取及运行: u: j) s i$ r6 r% K
8 A+ Q) p2 z. |
列出文件目录3 t0 o6 e u3 C1 B8 y4 H" r, G
$ c5 ^' P- X. f! s4 \! V" R
读取(允许将来自父系的可继承性权限传播给对象)
2 s$ n: Q) Y# U7 g) A* h$ `+ I Z4 ?6 h/ _$ u5 m6 `5 U
h.\winnt\temp (允许访问数据库并显示在asp页面上)# f' P h! [, i' ~7 l$ w/ T) q
2 z8 {/ A2 |3 Z% @+ Q0 L' x
everyone:修改4 p, n R5 z* c) B
9 z+ z* `# B1 o! G- }" y% `
(允许将来自父系的可继承性权限传播给对象) ?5 ]$ ^: { M" C1 G |5 s
. w& K/ `' K) y+ s10.如何隐藏iis版本?6 P, N. q" P$ @1 E
& U8 V S+ ~. v9 D一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息- y9 p0 [% M! V& c \
- i9 J) _; l% R! p+ Xiis存放IIS BANNER的所对应的dll文件如下:
5 L" V! V- u/ _4 f/ ]1 q5 A8 U6 ?0 r* ?6 W3 G
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
9 w2 o' G, Q! E2 f! G
; A. C- S5 }) B# r: K" mFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL7 @8 U( D9 e, l: C; |1 |
+ h2 g) W T2 C, M6 k( YSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL; w. p' C; P4 z6 {
' h) T& Z @4 X6 s, M' }4 ]+ @. y
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.00 u& K% r8 F+ E; b
2 q0 Q4 h1 N* b2 K4 `$ _8 s- S& g具体过程如下:
2 q4 j5 h& d7 e" {6 |' C2 a. w9 l8 `* a, k2 Q5 }
1.停掉iis iisreset /stop
9 X/ Z# Z3 |% j. E( f8 b \2 \. B1 G1 e
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件% ^" A, o N- P. m7 M
. {9 u3 ~! d& `; @2 @3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡