|
|
1.如何让asp脚本以system权限运行?
k& d8 b" E$ v. g6 ^/ y
0 i. Z3 x+ ~' W修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
: `9 V' F( G0 i. @ I
2 C' W% \2 m& b3 I' F) x; H1 v2.如何防止asp木马?$ O: V: F9 D) K6 ^/ o5 D: i
$ Q$ q0 p- m" w# ]$ M# ^5 }4 c基于FileSystemObject组件的asp木马) s# L; c/ Q& n" u' x
% t7 ~2 H$ j6 |* m) ~9 r5 J2 U* Tcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用& q* w$ G* G L
4 B% Z# v/ m+ g& yregsvr32 scrrun.dll /u /s //删除
F2 `8 O! J5 a$ f, z4 \
4 p, H% q$ ]( S, \& b' s& z. o基于shell.application组件的asp木马, V" L4 B0 G' n+ G2 i* d( |; C6 z
$ p$ ]: \* N% [+ H8 q5 f+ W
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用9 \: F( d4 c- |6 z6 v
! u8 B- R& j6 o% T- d$ Y nregsvr32 shell32.dll /u /s //删除# _2 o* O. x: ^" f8 `; O5 f( {
- N, J/ f( z, U4 U# w3.如何加密asp文件?8 }% ], k. J/ n5 c8 E
8 p; p' g( x3 N! n! k; J" c# w; E6 }
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。* l' r6 k3 ^, l6 T! m
6 ]8 u! w6 x+ Z0 H {( A- ]安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
0 ]" E' L) M5 P: W) d# E3 T. r, Z* N! B
运行screnc - l vbscript source.asp destination.asp
: N3 h) O( o) K# q7 y" J L% @# H o1 L8 r9 x5 T0 s
生成包含密文ASP脚本的新文件destination.asp
+ M' m; {. I. L( ] m9 F( Q5 N# t6 }
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
2 Z, `, u+ X: `3 g/ E% e( M$ e9 Q' Z) G8 l9 e5 X( S H
但无法加密中文。1 p8 A2 E! N( p* k( O9 b8 h- A% r
: u2 g9 ]4 ~5 ^' i3 M; e4 i4.如何从IISLockdown中提取urlscan?
) Z$ X& U# S) y+ n$ Z: k; z8 _0 X. V! o/ w. F; x
iislockd.exe /q /c /t:c:\urlscan6 r1 K' B& b; ^6 Y: c- k; r7 Z
, M1 A" N! M2 D0 [5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
; H# `2 d# a+ O j/ p
# i) e. W* n6 b执行
3 q3 N. I5 ~$ g* |. R2 R; U0 n- s' k: L" V; L
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True' J6 J' W" N" [# p% k# C0 ]
+ ]* C! W, b5 X6 `) @4 g8 _0 x
最后需要重新启动iis
$ L7 A% t! u, m. h4 Z( C1 n |& `3 M# ^) d, X5 s# j. o( w+ J
6.如何解决HTTP500内部错误?
9 q! V q5 {3 d9 _
) v, P' ^* N) ~* n4 A" `1 c( Jiis http500内部错误大部分原因/ a3 u+ @2 U4 h' T- u
3 B* v0 m3 ^- b; I' r3 l# u. y
主要是由于iwam账号的密码不同步造成的。3 x3 b* u$ g: I( S4 X ~
@6 j6 k6 y. }. Y2 T( q我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。# S0 r8 `8 d, |3 ?' q- [9 F
. w9 c( b) T3 g执行
0 R$ h6 d- ` ]4 w# a) t' v' s# r4 A7 l
cscript c:\inetpub\adminscripts\synciwam.vbs -v9 e H5 f5 l4 K0 E1 r- F
: ?9 ^9 w- r1 g1 r. i
7.如何增强iis防御SYN Flood的能力?
- k- c& {% ]2 G+ n
$ v+ l$ y Q* d; ]Windows Registry Editor Version 5.00
; ]5 L: v% k* s6 ]; Q- u1 x% o5 C6 q/ v/ ~' H9 M* w
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]+ p& L0 w" C7 Y" }% A8 A
$ \. f2 b( E( Y2 Y1 R启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
' |2 z8 P' B( C% _7 a+ `* h3 j$ @3 W8 `3 [3 s6 X
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值/ F2 j3 P7 l4 @& `5 T
9 X1 f, V: ^0 |8 L5 d
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。5 q3 L/ i3 [1 ~+ l7 _$ _- B/ P
/ p1 _2 X* q9 y3 z4 a8 ^( q
"SynAttackProtect"=dword:000000020 f5 K. ~$ r1 B* u# @# T4 x' |
, T5 D( o$ D* `6 n" k8 q5 h+ ~同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态) b% }# D$ u% H( h
( \' g" E/ v# Q' S! W; J2 o/ H) K
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
7 q B0 x6 t: c$ f7 Z7 b7 l" w* F2 T5 F
"TcpMaxHalfOpen"=dword:00000064. ?0 `$ ~( V1 L6 l2 u
& E4 P0 O8 P3 H判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
& k! I0 p, v% t" t$ y* m0 z8 y% D, }+ H1 b# `4 O1 {# x7 p, Y
"TcpMaxHalfOpenRetried"=dword:000000509 P2 I& w1 `$ V. ?
. n- ~8 Q1 y+ |7 M- }$ u
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。& E: }1 p* a6 G, a6 d3 j5 Y
8 q* @9 R: h# I+ Z" c5 L) Z1 |( Z
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
& G& o8 c* M, R: G, l& T" S: w6 U* X$ ]- _8 ~0 t
微软站点安全推荐为2。
3 B- w$ U3 @; n [$ K9 v4 Y. {* g1 ?4 V Y; f
"TcpMaxConnectResponseRetransmissions"=dword:00000001
4 e) `1 k" A/ B v, _6 o2 W0 C( b- u5 |6 X$ g% D
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 P) Q4 ~0 [9 T. q6 K0 a* T* i1 a2 m
+ c! e- H8 c% x6 p8 R" O; P
"TcpMaxDataRetransmissions"=dword:000000035 V; I& e: s( ?; Y' t; y& L6 }" C
- c8 W6 Q& O5 P& Q6 U9 L+ D
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
' ?: M2 O8 i( N; W! @% L# T" c
; }$ D, V) s! d"TCPMaxPortsExhausted"=dword:00000005( A2 U, M" v$ t6 {: C" R9 Z c
8 C* ^0 ?1 k2 A1 q0 I禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
P6 p& Q9 F& _ q7 g; Q- e7 \3 n; v3 x5 J. Q p4 h* F3 p
源路由包,微软站点安全推荐为2。
% ^( F' H. b1 _& L7 Z$ Y
M2 I$ U% @4 w$ m, P"DisableIPSourceRouting"=dword:0000002' E8 m( Q `0 s0 t
; m; V7 K# f1 R限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
' E0 t) [& [2 x0 X4 `
y" j! k) _8 a/ Q+ O! U; P"TcpTimedWaitDelay"=dword:0000001e
$ c9 s; K2 ?/ |6 b3 P' U
! K3 R) t, S0 n. Q% P8.如何避免*mdb文件被下载?
$ u9 U; }# s2 Z; J0 [$ x# R. I: h' r" J6 i0 Z
安装ms发布的urlscan工具,可以从根本上解决这个问题。6 m/ b% x2 P8 ]+ b: z
" B0 p5 d( c; ?2 G* a7 s' `; K同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。5 _8 p; b1 R, G/ x, h1 D
/ U+ \$ ~# M, b g! p' [8 V: @/ U
9.如何让iis的最小ntfs权限运行?, }; Q6 M' n3 A
0 [8 X4 b* x3 ~. }2 K+ i. r5 T3 d
依次做下面的工作:
4 H7 D3 m, Y, P: ~/ H4 F4 w8 H' E: d. h9 ?. M8 ] S
a.选取整个硬盘:2 g% u$ O, D# b' ?7 _8 I m
5 M) N" W2 R+ Y ?% q/ Cystem:完全控制
3 x! A' C0 L' x; ?& m" N/ m' |" G7 I x& k' [: {( N$ a: I
administrator:完全控制- G& S: z* e; O- Y
/ L; T/ z5 V$ O: k7 T- Z: x& r(允许将来自父系的可继承性权限传播给对象) ?! l4 o6 r3 ]% P
$ p7 C0 q' ^# d1 |! |5 _
.\program files\common files:0 t" I1 Z: @$ |9 Q# h8 k
& R8 R$ `3 }! @* g+ G; ~
everyone:读取及运行1 f# L% ?+ b! ]! g( d
. ?& `: V7 B: a1 p' d列出文件目录: b& @, m2 h; p" K7 c1 Y/ a
4 V4 e* E( V" S读取
1 w$ q H" Q% b! F2 a. Q- g' i7 F/ f+ |
(允许将来自父系的可继承性权限传播给对象)
- \6 V3 ~2 X! R' |6 q* a2 f
/ |5 R+ X' s! P. V: T2 v- jc.\inetpub\wwwroot:
2 H4 p, {; K/ q" _1 P: @5 j( M" y
8 n" k$ Q2 e& p9 `9 Tiusr_machine:读取及运行$ Q7 H% C2 Y2 p/ i
0 f# w6 q7 M/ h& \列出文件目录
+ W3 D4 d" [$ F- a6 W
# g; F- a4 R' L/ w8 M1 l读取7 j. D: S& O+ H! \
- L/ W7 p* A, r& l8 K(允许将来自父系的可继承性权限传播给对象)
% N- }- G% Y" z6 U% Z% g0 D& ?) O3 H l: X' i+ j
e.\winnt\system32:
" {! N& J2 s6 K" s, h3 ~- A1 m7 P0 {; V) a% M
选择除inetsrv和centsrv以外的所有目录,8 }3 C- `, V* g z
# s+ D3 ]2 f: l# d1 |+ r. c
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
0 ?( W9 E+ e+ I6 p: J0 k5 M% S8 ? w- Z( m9 E/ g
f.\winnt:: R: v# B/ T9 N7 `
5 g' O+ R& @# L; I% L
选择除了downloaded program files、help、iis temporary compressed files、
) \2 p8 O8 E) R# [) J4 h: h: f
offline web pages、system32、tasks、temp、web以外的所有目录7 w' p: @2 c. V6 n' J# U
0 S, q2 v7 q% u4 @0 P. l4 {去除“允许将来自父系的可继承性权限传播给对象”选框,复制。% m2 }7 E# C% m0 X
, q: y7 n4 u+ B% d' ^& L% d: N2 y9 R
g.\winnt:5 ?" n! n" K3 k6 }
: W4 q, D; P) W; o
everyone:读取及运行- I: o& Z2 x% ?6 e6 b
5 _2 E. _, ^+ m9 v
列出文件目录% D# i) @3 M% j& `" D
6 a: f8 B _. q; x! V
读取(允许将来自父系的可继承性权限传播给对象)$ R. i$ f8 \. O& @
+ J) F4 _" D r" i+ P2 B3 T+ W# ah.\winnt\temp (允许访问数据库并显示在asp页面上)& X7 |& Q, }0 I5 T4 p
9 N0 C3 Y% O1 I+ d! v
everyone:修改. k* a+ n/ d* c: E z- ~" U
^# P( t5 Q/ |' G0 M) a(允许将来自父系的可继承性权限传播给对象)
4 N7 A( S$ f- T. L: e
- m, x$ F2 x0 w: {! c+ l5 l10.如何隐藏iis版本?7 q2 ]( D4 b9 C2 |& M9 D3 d
. `. V, ^( @: J7 B3 p& o7 s. {9 m
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息, u4 }( t* I2 y( n% r( Z- \
5 l5 L/ a f o& xiis存放IIS BANNER的所对应的dll文件如下:
& l( S T( p$ G& C6 F" K
8 N! |. z; Y+ ?( s: x' k- X# N, Z& uWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL- x @7 z: K7 o7 h
, }: @1 P* N$ x7 d% n, L# ^( PFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
0 D1 d. `7 Y/ Z" g/ l- f6 G7 h6 o" J& Y6 N: C
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL8 S& J9 M: q0 i. v1 Z
2 `3 e6 h, z1 f1 Z3 n1 ?你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
; J# u4 E# Q( u& ]3 q/ k1 F) E
5 R( ^+ ]/ W0 O( Y7 t4 x具体过程如下:( m1 i, D. ?- P# Z' B) ~! }* i) K
; L. X% |7 ~' k. K# e! n+ m1.停掉iis iisreset /stop4 T. w8 z7 E0 K, V( s2 x$ D$ J
* U! F: ]' c3 j1 y
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件" l8 T# i% B+ j+ o0 d# j
Q4 P' O" g) X4 y1 K% ~3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡