|
|
1.如何让asp脚本以system权限运行?$ D1 v4 b' q3 M( r( a% Q
! Y; R& {5 |5 I) h8 c) e修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....% e" J- ]1 n o6 ?2 ~
" S: s7 j5 D' `3 e. W5 a
2.如何防止asp木马?1 a: |" I7 \8 Y! m5 a
8 u7 L7 f: @6 v
基于FileSystemObject组件的asp木马+ D: t# ]# |2 U& R" I6 f Q
, m1 y; i Y ucacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
- f2 r6 |) q4 z4 F+ u8 g1 b7 M
0 p" P( _; s6 e; ^* k+ tregsvr32 scrrun.dll /u /s //删除, B1 R t# z; y- V
" T; h9 X* M1 y% M2 u& _; ]基于shell.application组件的asp木马
, S; r( i4 z5 \2 P
) j# X4 \/ p, o5 D9 Mcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
& f1 p/ Q1 ]8 q& R2 j% u1 _: w/ L/ A8 R8 t# [; e
regsvr32 shell32.dll /u /s //删除) K3 ]. R5 [8 k( k* ?
& y, i. Z) s4 e/ _, |6 z* Z
3.如何加密asp文件?+ O x' [$ ?, X
' m4 }6 ?6 D7 x3 [! d$ O" U
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
* x; ?2 x# ]. p1 f
+ }0 O2 Q3 J1 W& r6 y4 T2 O安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
* x+ q, a/ M2 B; H* ~* V, H' _5 O1 J6 O; _
运行screnc - l vbscript source.asp destination.asp3 r1 V' s3 T: f: y! x
' j' \2 T5 H) R( o8 \生成包含密文ASP脚本的新文件destination.asp& c! H. h& F5 L) e0 @% C( t
) e$ B9 B3 ?4 P: A f
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了4 ^! Q7 `6 {& H. m! n* {5 u
4 V; }% B- B; U% i: {, o5 Z: H
但无法加密中文。
& r1 a5 X& A5 Y; D- Z
! |- U; j7 ^5 G d" ] P) B: A7 i" {4.如何从IISLockdown中提取urlscan?
7 T' e# H' h' y/ V4 D
) j- y q, J X2 H6 r7 Z$ v% e" c1 Liislockd.exe /q /c /t:c:\urlscan) _- e* V9 |, u) ?
1 T9 {9 |( |) v, U+ ^4 j' U3 \! n+ {5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?+ ^ L+ e$ V" g+ ^+ B+ ~
: H3 O3 h0 R; F, z- |
执行
' q, O: w, x' R5 P0 ]3 G
/ m/ n' J8 L# scscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True% f: I( n* Z E( u% W* c. t
% v) _: i0 y1 |; ^
最后需要重新启动iis
- d p) W1 L8 U8 `
5 K, S s; u# k% @6.如何解决HTTP500内部错误?
. B) {0 j; p3 R2 G0 k0 {( r
. q5 U7 B. i( @& y- F/ Diis http500内部错误大部分原因
, z" j" M7 L, ?8 x$ k* H' x2 w
8 y+ F3 M, s G ^2 }3 H# B" D2 V主要是由于iwam账号的密码不同步造成的。
0 c6 \( V* a7 }( U& ^& k8 C3 o! |8 ?" J1 Q* h2 B2 O, U
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。! n* @% f, S6 W; V7 S
2 g9 C( K! q( x t* V( C+ T) s执行
* N8 x# ~7 h& T6 S. M9 q# n7 R5 x; P9 C+ v! G8 v+ e
cscript c:\inetpub\adminscripts\synciwam.vbs -v4 c8 z9 _, X4 X
/ q' i0 `+ |2 q5 k/ |7 x" C
7.如何增强iis防御SYN Flood的能力?' j% }- E( r: _& Y6 t6 q3 l" t
, u5 E" `, @( Z6 B/ {& c
Windows Registry Editor Version 5.00
$ M, h$ ]$ [" \2 a* i8 W' R) v, f& f3 Q1 }) R+ P
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]% j* w2 { Y, o/ x0 d
0 E+ Z( r9 s h% o- U启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
! f( P+ E; r: L; r
( v- B/ j7 M( g2 P7 a安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
+ N/ ~9 i$ ^- ?3 Y: @( U: P+ R7 Y) [. A" Z O( `
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。: C Z: x" s6 T; g% g5 G
! q8 L0 f% e, D" w% k
"SynAttackProtect"=dword:00000002
5 [; z* S i% O6 g2 L! s' L( Y, N
* g' l H, P/ i同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态/ v/ n$ |& } o" V0 R7 C2 x
' Q- z4 {! y) h7 }9 [的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- p) U0 ?9 y6 K% n) Y- }) z# M9 q1 N) t) }
"TcpMaxHalfOpen"=dword:000000641 l' q5 A3 ]# D: G4 H
9 k$ V q" X2 p5 G1 P判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
+ {( j1 U- O9 H' s+ J5 g d- ^7 K
$ _9 d. r7 d# X"TcpMaxHalfOpenRetried"=dword:000000509 E* [- J* O3 q3 Z. J% I
3 v8 }9 ^, N- a3 |2 Y# B- J设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。4 [% ^: k1 \) U5 B! Q
0 T6 a) Z: K d+ a1 h# b4 k& m
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
/ D0 G9 y; H- c, |* P V9 ~% m Q9 @8 |7 F1 ?
微软站点安全推荐为2。0 J2 g6 u3 z/ Q) ?8 w8 @( s# ^3 e
% G! G: R2 F( c& Y) f: ]"TcpMaxConnectResponseRetransmissions"=dword:000000013 r0 S) f2 T. t# ?: Q
1 \+ U8 s+ h5 W" V V( e% {3 T; t
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
1 K# J. k4 j" v; |+ e" m
6 C2 p0 s* n& i. N"TcpMaxDataRetransmissions"=dword:00000003) d" b3 ^& z9 F" R3 H
0 U5 S+ r/ ~& w# S( V; K3 H4 U设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。) J( E( i5 W! x. R& x2 ]$ A
: @6 s. u1 O, G6 E"TCPMaxPortsExhausted"=dword:000000056 v4 S2 E* L e% r- p
; i- ~: m( Y) W! B# `% s$ C
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
4 N0 V# U0 A9 G a( K5 ] h+ u7 V+ p z; P+ l
源路由包,微软站点安全推荐为2。
0 Q1 }. I3 o" o6 f J3 Z* {- `# y8 U3 [! _1 |
"DisableIPSourceRouting"=dword:00000025 a) K" b5 D' l# ]) q# J
B# m1 U/ T, Z$ I7 y& e: C& @
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。; `& x3 n! Z1 [) S/ D3 }' p
+ I# q, w3 b" I4 V! p, v p7 W9 E% a"TcpTimedWaitDelay"=dword:0000001e, E6 j' n. y* a, j9 _% r
6 j. O! t2 ^, c3 H
8.如何避免*mdb文件被下载?
, y$ {, W* |0 _9 c* L+ e* }# w- F6 V- D& t+ [0 P# Y" h3 |# Y
安装ms发布的urlscan工具,可以从根本上解决这个问题。
# U; e* l; v5 p6 Q r8 r1 y. }# l5 M
$ z' m: _* N% f同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。* W9 g& |1 O9 _$ b. f( q
) q( E) z* N; S D( @' O9.如何让iis的最小ntfs权限运行?
5 @5 m8 j3 i( Y5 M6 m6 C% \
% k8 O% S5 I1 E. b$ _3 Z1 j; R依次做下面的工作:, Q) x' C6 ^9 j3 c; B' T
: T1 m7 ?' U) s; \7 x/ a
a.选取整个硬盘:1 Q/ z4 k! K1 v: y% }/ w
0 J/ z7 G6 G$ u0 u# M
ystem:完全控制
% r2 C. S3 T6 B2 C) C( v- b C. N- B" c1 l N2 x2 q- x
administrator:完全控制% q- e Z, f# V/ z# | }
* j0 ~/ L1 W" w3 o9 Q9 z(允许将来自父系的可继承性权限传播给对象)
8 F+ ~ b, }9 L' w4 O! g2 [; i0 j" V) g# X& D
.\program files\common files:( n' t* S- H1 a# M9 n5 L! i% R
5 @4 E% m) e4 m% Meveryone:读取及运行1 d# f K' [* G$ f$ I* b
- b$ Z% q* l$ l0 k: I列出文件目录
8 C7 I+ a& u5 p+ M2 X: v S# |7 l( d0 S
读取
' b; m9 Q: R" W4 ~% p3 h
, ^+ A4 v" G4 P$ i' C(允许将来自父系的可继承性权限传播给对象)5 `6 g1 I$ Z- q5 Z% T3 V5 ~4 b, N) U' y
3 X# J8 U' m6 n# U% r& ^- l# q( i7 cc.\inetpub\wwwroot:, u$ F+ }# g: J+ J5 W$ ~
& y1 a( {# E4 b3 F w# I- siusr_machine:读取及运行
; A6 _/ c' {0 F: j, J) w1 B) g! v& A
列出文件目录6 u3 `& D( _- Y+ [- |/ K
* f; g7 v: l# I+ v ~读取
# J, O9 a5 I H, J+ f' K. s# Y1 B! n' }; [ I7 m
(允许将来自父系的可继承性权限传播给对象)
1 c% J/ l( o5 p0 ]+ e- v
; F( K* V0 S6 H* N% s7 Te.\winnt\system32:1 u* B4 z- K i# q
$ }4 ?( @ L2 L; A- I$ R V; H! b* l选择除inetsrv和centsrv以外的所有目录,
g+ u9 t D% b( R# E# K
/ a6 M8 \ V2 \1 ^5 U) r去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- L) y8 |# k0 r) [1 [# G$ e' B; h
8 q5 H* I: i0 D( x I& h
f.\winnt:
6 U( n6 Q ]! U' P, u+ U8 z- r
选择除了downloaded program files、help、iis temporary compressed files、- Z8 T% E, u- U0 N6 E# q/ @! c; V* h+ ]
8 ^+ o$ n3 A. {1 s9 h
offline web pages、system32、tasks、temp、web以外的所有目录
0 b, r6 Z) j3 {5 [% A$ ~4 R- e8 S$ |7 X1 b
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
0 W! _! b; G* w( I/ d) |3 ` }% m$ m- Y0 `5 T
g.\winnt:* J# W/ e- d4 K/ y! A2 ~
2 a3 k8 u2 R7 u, \everyone:读取及运行
2 Y( T% z2 f8 L0 J' u( @
5 J1 E4 x( u" x列出文件目录
. ?& l+ x) O0 q4 O" ?/ ~9 l( j$ l+ p% Y) s
读取(允许将来自父系的可继承性权限传播给对象)
2 S: A9 y) f0 g( u, v
y6 o! G" W# G% ?+ x" bh.\winnt\temp (允许访问数据库并显示在asp页面上)# h8 q) C. [0 `+ m. w' w9 g
1 F# l' s9 y# [0 n+ |, @everyone:修改" s5 \$ _. e& X% O- I
3 U d7 K7 w6 p4 Z$ ]" k(允许将来自父系的可继承性权限传播给对象)- s9 [6 O' t' S) g% V( n3 \
2 m/ ~& l3 Y5 ]2 y
10.如何隐藏iis版本?' R! j4 @% m1 N( }2 |4 I4 u) N) @
8 U7 G2 S' C* T6 [* I$ b" ?一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
( h) U# \" v1 A0 d/ k- }9 W
. b- M* e# O$ q) \# B" k, r' jiis存放IIS BANNER的所对应的dll文件如下:
" |8 L6 }0 y4 H$ j9 c
& I% A$ b* k$ a( `WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL9 T% z6 H/ A( X$ P/ w. C
3 B8 y; e1 N1 Z% Y E
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL1 k: `7 |2 i8 r2 s4 |3 w2 z" v
6 E6 l8 ~1 W mSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL% `1 \ {5 d* C. l6 j
# @# G; l( h/ ~6 |
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
& I& y3 S" W0 s3 S9 i% `% C4 [1 @
) H& d' J* D4 t6 ~具体过程如下:# K$ h* v0 o( X& a8 R, q
! a4 f5 [5 m" |4 K% |% X
1.停掉iis iisreset /stop
D8 E4 U: B3 A2 V! O& G; q8 L/ X% {& X; b
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件5 r ]& G* X _5 j' k, m
6 U8 k+ [& ^2 A) x! o3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡