|
|
1.如何让asp脚本以system权限运行?5 z" ]- \0 T+ P' t* l: `
- W) B" |. |; e3 e8 k
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....9 z4 }8 r. z0 a# Y; k3 c$ P9 ^
|) j! @- r( m5 z* s- `5 n6 u! g
2.如何防止asp木马?
8 J- Y! ^' N4 a" e
; j* J& y# C% l. Q5 C8 L- U6 A基于FileSystemObject组件的asp木马
) |) r! e8 `$ y: @! {' H8 g) W0 T. ~+ x
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
; ~: D" c+ _: e+ m! j; b
' n1 _' i1 z& P6 _6 v- l3 Uregsvr32 scrrun.dll /u /s //删除
# `+ t, f! e( y4 K8 T' H5 y/ Q9 g T5 T B
基于shell.application组件的asp木马
1 ~$ D1 f1 Z& \" N2 ?. q1 q9 Y& A
2 x% ]* z' B5 G- H/ g$ Z ecacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
- f5 S' A, h6 O1 W5 Z
& @5 k, h- m( \" y: I' [2 I. xregsvr32 shell32.dll /u /s //删除; i. f+ U2 h. a; D( i8 i
; Q m+ e3 I% o t) j
3.如何加密asp文件?* t' x! P+ I% r! r4 g& \
; |7 M% S7 X4 p2 c从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。2 l( a1 h3 H5 }3 k6 h8 {( p3 M
$ a* y2 c' \* l6 A
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。4 `9 g% s* Y+ `2 J# |2 S5 l
" Y- t g% i3 o, `' D
运行screnc - l vbscript source.asp destination.asp
, F7 v! t, w5 j9 M: }
6 r( D$ d( _1 l" L4 {7 W生成包含密文ASP脚本的新文件destination.asp% W) g4 S. E7 ]& u1 `: J
; H0 R' n* k9 E
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
6 T3 L" Y* Y* }7 D$ }3 l
G( J9 s! p3 K/ v' {但无法加密中文。
; q. i5 ~, C' z6 J* l$ j5 h0 [
, k7 t( r1 I9 S2 o% f3 N4.如何从IISLockdown中提取urlscan?0 q/ V8 D' N, |% k7 B
4 z+ [ T4 F1 t3 m+ e/ z/ j
iislockd.exe /q /c /t:c:\urlscan
& {3 @6 W# V0 k! y T5 E- ^( U2 z& [! k1 I! s
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
0 U3 C) r p6 |2 P9 ~, v0 ]; v
4 F! g# f8 q3 T/ F执行
* t: R$ R: p. Q% [. ~7 M0 V0 p& x
5 O- b& l, L a: D& Ccscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True+ h/ U; {- F Q8 P( v- y- z% i
; B" b. |4 O5 C6 O! Y4 W' r% d) Q最后需要重新启动iis
+ S! G* |- q) _8 [; T# e
) p! Y1 R5 @- Q" e6.如何解决HTTP500内部错误?/ h# `3 C* N: L- a- H/ A' B
- v5 @$ r3 m7 E: a
iis http500内部错误大部分原因
W: z3 }' {! Q
$ k O/ o: h5 \9 e主要是由于iwam账号的密码不同步造成的。
+ G( ]- o& Z' b3 ]: q+ k8 ]' O; y7 M# N$ V# z6 m( ^' N& o- `" i
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。- @; I* ?/ O, G8 _
# Z2 g8 M3 T4 ^$ N执行
/ k" Z+ M6 a( x1 [- v8 R
8 L. z* C: l2 D+ C$ A; _cscript c:\inetpub\adminscripts\synciwam.vbs -v
7 d+ p& L/ c! e6 {. D' q, P* J+ x" m4 [+ i" q+ C" |6 \2 Q
7.如何增强iis防御SYN Flood的能力?
8 g) m: |, w! s" O& \9 m
+ T9 f+ v3 q2 o) cWindows Registry Editor Version 5.00
; j2 C0 \4 D: }( a0 k# G7 n, F9 i: |7 z- u5 r. z
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]& Z" ~# }6 @3 F/ P
]: f) @( V; R. x$ i/ g7 P启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后2 N" C$ g; n9 U Y
2 P7 F8 P2 K3 q6 I( `, `/ K. H
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
& @! w5 F! N3 D
2 C: ?7 E: s, [3 `6 U' O/ L设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
* L8 A9 x; _: F) G" s) K/ W7 Q4 Z/ V/ F! A( S
"SynAttackProtect"=dword:00000002
! ?# F7 Z; e V% M2 u! o3 u% [9 K* c* y4 H* o9 x
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态5 X( t! m9 G& G7 P
/ |1 t4 y$ y, v! f0 p8 C的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。: V: _* A& H% u; [5 w$ I
) t6 o# ~# h% _+ G7 o"TcpMaxHalfOpen"=dword:00000064
+ i" L' c1 z. f+ M$ E( h! M. ~: p6 G, Y5 l2 n6 m% A; s
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
0 Y& z) X# M/ f! G2 K
0 H- k7 J3 F3 O9 k7 p/ E0 g"TcpMaxHalfOpenRetried"=dword:00000050
+ X. `( z2 P* U7 }! X' v+ _, R" q( V! r: h
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。) O, h- G X" e8 c9 n
9 Q. ?( N- Y j5 Z- o6 N8 g
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。" ]& V6 w; [+ ]/ q: D
; o8 K) G; m) r' i微软站点安全推荐为2。) T2 D+ {3 f3 P( I5 T2 h7 D
; }$ k" r5 N2 ?( @: H+ w"TcpMaxConnectResponseRetransmissions"=dword:00000001! `: ^( e0 p5 z
6 A* J8 W- x; f) }, m! k设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, \) A! M; K, I: t1 H& F% R
& D+ g) y5 ], ~/ O- R) R$ u"TcpMaxDataRetransmissions"=dword:00000003
1 D' K3 H) `; F s( ^5 \# f. ^" U/ |, l
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。1 K% R2 X% { g
( G2 ?7 f, g$ [; |"TCPMaxPortsExhausted"=dword:00000005& V; N6 b6 k8 o0 b& C1 I
; S J) \- q% t% W7 D禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
$ m6 S q3 u' v) Y
2 i% F( u* @; C/ m0 v$ i" M源路由包,微软站点安全推荐为2。9 w7 P& g* ], d3 m6 o
+ x# x5 Q# g6 _/ G. a# }9 X C
"DisableIPSourceRouting"=dword:0000002
) K0 x f/ i8 X7 z, M/ f, ?
& ^, n1 v* q' w$ ?) i3 d4 |' \* @限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
9 M9 v7 s/ ?* A$ {# |) z0 D" X; B" r" s% @. M
"TcpTimedWaitDelay"=dword:0000001e" A- F3 o& ^3 k( Z ~' R
6 O7 Q) X; X" { K6 j: F) w8.如何避免*mdb文件被下载?+ E% S- K- F: W( U! \5 P% w8 y/ y
; Z5 i0 S9 W7 [, f安装ms发布的urlscan工具,可以从根本上解决这个问题。; W! N p$ R# y
2 c. s7 y8 `9 | _% c' g- @3 j同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
0 d. W0 Q% e- w- N* R) ~5 B5 F* v h% }7 Z% ^$ L( @; h
9.如何让iis的最小ntfs权限运行?
$ F& Y. b: g5 K6 b$ r2 z8 K: ~. x8 C5 e* M
依次做下面的工作:6 V4 i( j$ p% ]- \7 a
4 P: L1 ~5 r8 O V6 la.选取整个硬盘:) e: w9 Q H- o( |$ I
& f' e+ B y5 V9 C
ystem:完全控制
! [% w* G/ h/ r
( C; N; R3 y) d8 d" h! @+ Vadministrator:完全控制4 r$ U5 _9 h" z r
) k! j6 ?: _8 v0 Z( Y8 R8 q& c(允许将来自父系的可继承性权限传播给对象)0 R4 X. g; g) M& z, c
* R4 j6 e% D+ Y3 p
.\program files\common files:
3 [% Z" q1 l1 w: k2 B4 J
: E1 E: Z& h) f' f0 n4 w% V# {everyone:读取及运行: O: P, }% \ ~% a
! W7 h# G/ Z* h# \ B列出文件目录2 R2 R! y" z6 t2 b
7 K1 g& x# u7 x/ ?, k读取/ T4 @- v8 D& v5 U
; {" ]) g; S6 x) X(允许将来自父系的可继承性权限传播给对象)
7 H, u' y7 r! k: m c3 @$ o. O+ S& K, d
c.\inetpub\wwwroot:
' U" E8 q, E. k1 w/ m4 @2 v$ A! k0 h' v) N' J5 q5 U3 S) X7 ?% l
iusr_machine:读取及运行/ V2 W! ?4 b( ]! v8 I* \% e- L) q
6 s) i( K2 i# h2 h& W3 f列出文件目录/ D, ~$ O7 G) W
0 O/ [) K7 w* p2 s" v! y读取
7 Q8 R. i) a$ }/ Y/ I
% L ~ |' s M; q(允许将来自父系的可继承性权限传播给对象)
0 O" w \' \3 m0 s# H; }. S R1 i8 O- v" N/ t* ?
e.\winnt\system32:
7 B( i* m% k" N s$ V+ ?# D9 |4 ?2 P) C9 ^) b7 `; m: N
选择除inetsrv和centsrv以外的所有目录,- ^. d) U5 L3 K3 K
2 F' J/ `2 u; M9 \. D1 G9 r
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 z6 |/ B! M9 g8 g
- J5 L3 L! S7 j8 ?$ Q# N' P
f.\winnt:
: n* b5 t* M* H: k* U; l4 x' d! O- c9 a' j% z. C7 e J* P
选择除了downloaded program files、help、iis temporary compressed files、3 T# ^: q' z2 l- l; L( G
+ y& `- G5 H, p8 o% z8 |offline web pages、system32、tasks、temp、web以外的所有目录* L; l% U' ~5 n3 @9 q$ @" y& g
3 v; V* }+ X7 {; T9 u X
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: R% [; N5 b$ h$ G3 ^
" m- c6 |% p4 Ig.\winnt:: ]/ L. ]+ o1 x$ ?! X. Y/ V
7 ~" A; G5 k* R; |1 u
everyone:读取及运行
& B- M: r e8 B$ z( G# q
$ J H7 E2 y5 Z9 ?列出文件目录 H: X! y; h9 |; _3 D
5 A& [' b; O* d1 i
读取(允许将来自父系的可继承性权限传播给对象)' V/ p! A/ Z/ A: a, n
0 T% O/ B2 h7 H" P, kh.\winnt\temp (允许访问数据库并显示在asp页面上)
/ x; m! v8 n* ~' D, Z% y$ y
! r& d; R ?" Y6 d5 Ueveryone:修改
8 k6 D" `# @# a3 u% Y. p j( |4 Y1 p4 r1 S6 [0 R3 C7 q
(允许将来自父系的可继承性权限传播给对象). X5 @* n2 U+ F1 a. ?, [
w4 v7 W% [7 n A+ b4 T8 c
10.如何隐藏iis版本?* n' ]1 p. V8 D; ]. ^$ F
5 {5 i# M9 j* t" ^5 Y: P
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息/ ~$ X, _; f# U7 ~! a* k
" T* m1 ]8 c3 c+ {iis存放IIS BANNER的所对应的dll文件如下:/ j+ G* r$ h1 q" V6 C( W
. H2 u/ I$ g9 Z& K
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
" \9 _. @4 T3 [( l$ t% W& _8 x
& Z0 \* f2 G$ n: N K" a1 R0 QFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL& B4 b& k* S8 Z8 V( d5 k
% P8 l, [; W3 e/ i Z( U: \SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL( w* }! T8 q% f2 q" ], R) Y6 Q7 L. ]
/ A1 _ E5 M) j+ t) J0 @' C
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
* I0 B) c( s) _/ \( C; \7 h( {; U: M5 ?- v6 Q" \- a
具体过程如下:
p/ e0 n; Q+ W. ?0 d+ B. y! m' y- `' b" Z
1.停掉iis iisreset /stop
' d% ^5 J6 I+ ] I( `" }! k+ U( U! [5 r6 F$ q" G6 E
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件! [ E! E7 ~% b, @$ T# r' W
/ L( d( O( j; S# b& _! z8 B8 u
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡