|
|
1.如何让asp脚本以system权限运行?
1 e& O0 x) U2 M
% m1 N& [. O5 s r修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
2 z) U4 h, B: [: V% U' |0 Z# Z2 |1 X8 B( ]: f
2.如何防止asp木马?
% z" }! T9 x* h. Q, X! F) U2 v! B: k5 m E! a6 J
基于FileSystemObject组件的asp木马# `3 R( m5 d- k* H/ G0 k' Y
3 @; n. Q( ~9 Ucacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用5 T' ^3 l4 b4 T2 S
, d3 c# d" A6 G' l6 E/ T
regsvr32 scrrun.dll /u /s //删除, b& v% b$ J/ J- h
$ W5 B. z- j4 d9 d' B
基于shell.application组件的asp木马
; Q# e0 \' ?4 A# g g7 N d) k1 \/ d( }3 j& _% ^" w" G
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用, D2 ~; g7 [* N+ S8 P* ^
, Y: D1 _- C# s
regsvr32 shell32.dll /u /s //删除 H3 B3 k2 O* g
3 Z# D, H- `& i# G+ ^9 u; @
3.如何加密asp文件?7 F1 Y7 m3 c2 D/ {! [1 Z
$ f! G- J; w# q' o# o: r1 G
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。* d$ j$ }4 [& P: h/ U0 b+ |
* x- a3 f; a# i6 Q% c6 T
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。: d6 L2 C* X( M$ L. }
! u& l/ t+ w: s q! L- E) |
运行screnc - l vbscript source.asp destination.asp6 U: g& u8 h# J- j% K9 u
! ^0 O% X+ _ |% T& Z
生成包含密文ASP脚本的新文件destination.asp- Q: L( r" |7 c7 m* a/ @, A
& a" s- N) ?% K9 ]# Q" K2 Q/ u用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了! G, c0 B U! b5 r, {( J
i6 a+ p/ K Z$ r9 l& K9 ^1 D, j但无法加密中文。# W' O# f9 {7 R) ^" k9 K+ A7 P
5 V3 ?( g; t! `/ Z4.如何从IISLockdown中提取urlscan?$ G1 L ^/ T; A) H9 `
* ^0 `, S0 r2 n: p% x: F
iislockd.exe /q /c /t:c:\urlscan
$ f* w8 _/ _+ u7 }7 \- t2 V7 h$ v2 t8 w# i+ |
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址? [: B, }8 ?( p. j: U+ O7 `9 R
[" u/ m. O6 _! {* C0 _+ S/ `3 d
执行
: ~6 r: o% R% ]! N, d
) P! A H9 ^. D7 ncscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True/ L8 {, b+ K; C) s8 P
5 |3 y5 ?7 F7 X! D' o) i
最后需要重新启动iis5 z3 o+ [7 e# }) M3 j
; m7 ?) s. `% ?/ n6.如何解决HTTP500内部错误?
% Y [3 s; v8 A) p& C& y8 I) t0 w) d
+ S5 g' A" P# y% X2 }5 v! E+ M biis http500内部错误大部分原因: c J) S1 i% _, ~- M: `
% |- G: r, t' G! X# e9 L' j主要是由于iwam账号的密码不同步造成的。0 X! [) q; V. p7 {- }# J9 a
3 ^- L. x: w" _/ @1 F
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。' ~& N7 V% |# J2 d0 J: Y
W2 W- a4 S! @8 v
执行5 S6 y6 W) ]4 K9 r: K& \2 y$ D7 U
1 q% S) y7 S9 x; X1 acscript c:\inetpub\adminscripts\synciwam.vbs -v# s0 Q. ~& H% G9 U7 B- M6 v
# Z& n# G$ C' Q5 S/ U2 E
7.如何增强iis防御SYN Flood的能力?8 b/ s p L4 o$ M& u9 a% q
' P( U4 ]0 Y! m- B% p6 K7 qWindows Registry Editor Version 5.00- ?( ?. P g* K N+ ~
" o6 n1 W; J6 b1 O* R0 v$ u1 \[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]" ]: }3 @1 L$ n7 f& t+ T* ]
3 X g2 ], A0 s3 T
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后% m' l8 Y( A" T. |+ K: Q' c- L2 d
5 p9 b0 C6 x5 g6 F+ B安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值1 s- c& v; _4 u6 m$ I4 G: e0 }% k2 o
* C, b8 k1 _+ }8 f* G" U8 @5 U3 w
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
$ N' P9 d" \5 s2 J; t
D: Q" e5 f; \' u7 J"SynAttackProtect"=dword:00000002
9 t8 P1 i1 p" h2 y* u* o$ k; M, p2 n% Q% q- z* L% b" S1 ?4 A* ?
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
3 H8 }1 Y0 X: \/ D7 @
' M: A( w" e; Q3 Z的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- C4 a& S9 ^& E7 r& S/ E% N- q
3 R" B# @3 ]* y& r- M# d- p"TcpMaxHalfOpen"=dword:000000645 ~; h+ i3 \# F$ Z: O3 h
: J6 Y: B0 |( `判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。/ U! ~* ?7 r7 _7 m/ I: k/ f# j/ M0 |
! y& ?" Y6 X3 J8 r- X2 {% G) N"TcpMaxHalfOpenRetried"=dword:00000050
+ b: e) f0 `; T9 C# O: i$ m4 h6 E( I3 z0 X6 ~9 w" i
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
+ z; q' H F( x7 m; m( w' p0 i. s9 J7 `- G1 Q" |) L
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。* [ G+ [* Z- @; I( g
, Y% ?/ c. y7 O) y7 [" ?* q6 q* P% n微软站点安全推荐为2。; J/ V/ ^7 Q7 d! o( r+ b- D7 @
$ }- n' h$ ~1 [# I @2 a, I! P
"TcpMaxConnectResponseRetransmissions"=dword:00000001: z1 j3 e) x! f6 G& a" d# e
" ^/ K* ^* J6 j1 C8 t
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
# j8 d/ `# w# i
: z) g7 u! c- g- y7 |: k' {5 K, p"TcpMaxDataRetransmissions"=dword:000000033 T/ T: U7 N% ~
5 h- k( _- m3 \% u* d3 `% Y( E3 h设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
|* h! }) e* O% R
6 {- @1 o8 {* p; D4 R+ G; v& @"TCPMaxPortsExhausted"=dword:00000005
2 g5 O; @4 M- v4 Y* @3 \' h/ w8 \( P
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
& O6 @) T7 Q: @6 X- C) n& s% D0 H7 [# W" m) m! r7 {+ _
源路由包,微软站点安全推荐为2。, w8 c w7 B- b B6 u K3 ?& v1 f9 \
) K' t V0 T, l, p" o( t& E; x: Q
"DisableIPSourceRouting"=dword:0000002/ d! \% }; I4 n) x. m
3 P$ q4 M5 ^5 S3 s限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。' z# G& u: x4 X6 T4 J3 A# O
k9 v" l; u. @/ A' x
"TcpTimedWaitDelay"=dword:0000001e* _0 X" S$ H9 J8 b1 K/ E( p2 ~
. i1 {' Q3 s/ C8 m) D% o0 [
8.如何避免*mdb文件被下载?
4 K0 K% F: a7 d) J& h1 x3 d. t# `# ~ J" [$ y5 Q
安装ms发布的urlscan工具,可以从根本上解决这个问题。5 a* I# ^6 a$ M5 h! w
# y+ j3 e. i6 k( |) s" \4 \
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。, o2 o+ s: s& Q9 \# \8 \) \. Z& p
$ |3 _2 N( U) F! ~% l$ h
9.如何让iis的最小ntfs权限运行?
0 L; L8 a8 x) u- J
; K; ^! M7 t- v* X6 ~& g1 }. ~依次做下面的工作:" F% ] @; R' Q1 v0 X# E
3 L5 g# l( N( t, m8 y$ K" x
a.选取整个硬盘:8 j% v2 q" B# a r
! a4 p2 Z, _/ @8 `ystem:完全控制0 }* a! p: Z7 Y- h& d: I
$ F+ w& K# g- z% h& e& C4 @administrator:完全控制
5 u4 A" `1 C9 G8 W6 w% D( Z3 `/ ?) D7 S( W3 E
(允许将来自父系的可继承性权限传播给对象)
) @+ H7 }& H% o; D1 P: `
$ ~) l. r9 e; G% W& ?8 X/ a# l.\program files\common files:
8 t) n+ }" g4 q% f" u1 s. h# X5 f
/ @0 n$ l/ R( _0 ]: g! E1 @everyone:读取及运行, I3 Q9 {( r1 J9 `. A6 V& B
8 X2 v1 q" q: j
列出文件目录
8 j, t+ k# o- p1 }) Z8 |! @" [6 p7 q+ j3 m& ]
读取
* H& c8 t. m( ~8 e' f' Z; S* l9 j
( |/ R1 Y; \ V8 v7 J" g% A, a* F(允许将来自父系的可继承性权限传播给对象)) m; Q8 S( l% x
9 g$ k h' _. V4 ]8 H, Pc.\inetpub\wwwroot:
) e% p; U) D& X5 o9 ^2 T# ^- d# g; H# j0 E o* e
iusr_machine:读取及运行. [! j, F" W9 I
( N: i4 a; W. S, I
列出文件目录' v! g0 `! i. x4 _; x9 Z+ e
, \& H( w: M8 }1 O
读取
, G! [4 ?+ l/ |; Q7 J
6 @- F1 ~: e# w: t! q(允许将来自父系的可继承性权限传播给对象)1 e- t& h% N2 E1 V9 k& I
2 o4 ~# C @8 c5 H* qe.\winnt\system32:- W! r) v* X' U9 q
( T+ T, _9 h7 o. C1 [; `5 x
选择除inetsrv和centsrv以外的所有目录,! b0 ^' v; T3 L% S
G* \6 o( l& u3 Y1 f7 ?
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
E& |8 f, Q0 M) K8 `6 H5 N) `9 p( {9 |$ L
f.\winnt:, p; {' p& b. o% o
, x& i! o( C; O$ j- C$ {4 {- l选择除了downloaded program files、help、iis temporary compressed files、0 s. p( j* |. {2 ]2 g
' Q& ~* g% q6 S* v, | eoffline web pages、system32、tasks、temp、web以外的所有目录" F+ F @, ]: R% l) ^- p
4 \6 r- ?' n. V; q2 f3 C去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. b: [/ i! J, T* n) \
4 |" L, m; |% t6 ^g.\winnt:
1 B# ]3 H; D( U# p0 A% k6 E0 @$ K8 ]7 v% A; V" S
everyone:读取及运行: `3 D/ N0 ]4 {' v \. q
& ~" ^# {' J5 z7 \; K列出文件目录
, v) ?2 e# X. F% X4 `
0 n7 r- e& m! N, M. i6 F读取(允许将来自父系的可继承性权限传播给对象)0 O) w& W2 |2 y- K+ k! p' R+ Y+ r+ e
6 A5 q4 H) l. f1 E$ Wh.\winnt\temp (允许访问数据库并显示在asp页面上)
( M6 @; }% t$ Q1 H) j+ l" M1 `/ `& U. |1 {0 J, p0 m) q9 e
everyone:修改
# j) [0 T1 G! @/ a$ u+ F
5 c% ~9 z8 `; ^6 O% k, w(允许将来自父系的可继承性权限传播给对象)1 L& H" O* W$ X) y% `
B y2 j( C9 b4 |, l! [
10.如何隐藏iis版本?8 @4 W) P! d Q) l
% X. [/ z0 F9 d- n5 K
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
* H; k1 f$ l4 U. E; N' |' Q3 L$ j2 ~
* Q+ z8 |2 ]( }7 }/ Piis存放IIS BANNER的所对应的dll文件如下:3 i; k# K; H: p. E' R
7 ]6 j+ U4 {1 n$ Q7 I: B( xWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL( y* e! i1 h( J& ~
5 W% x9 ?' f- h; o: r6 `FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL9 d9 Z5 I( C( Q- R& g
; N' d ]9 r" `8 T4 _
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
, A# d3 Z4 _1 w% J, B& X _& B, d' A( S) I
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0& w& b& M: f6 a5 B8 m/ g% i2 ~
2 L# b! a: z& N" f8 u具体过程如下:5 B1 ]& x* n+ F, p
7 w) F. {2 v. j1 f, L
1.停掉iis iisreset /stop
* t. x$ C9 l/ L, G6 n
1 k E: V& w7 }+ e( ^- O0 W2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
; ^7 E6 o3 v$ o3 }% a7 B+ H5 E1 [/ X# [7 v ]
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡