|
|
1.如何让asp脚本以system权限运行?
" [* C _3 m. T# P) Q& X- X# ~. Y
9 @6 M0 Y% b* U7 {- E" \$ {修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....' M- V! C( v% j4 s
9 M, F/ F& x% q7 p' z0 O8 W2.如何防止asp木马?
% }* _+ K$ q% w% i j7 ^9 u$ |) L. \! F6 P" t( v" z& `
基于FileSystemObject组件的asp木马
( l# v9 p. Q) k, Y3 u+ w
! G7 Y0 G j- F6 Y# n& N8 ?# xcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用" s% P" J) i, p; g* E) C
4 S6 ], f" v( ?; E- y9 J. k4 T% k4 @regsvr32 scrrun.dll /u /s //删除
& P+ l9 w* j* N* t1 \* u( e8 b- w; l& b. w
基于shell.application组件的asp木马" o2 x+ t, A4 a+ u0 _ u
% l b- i6 u2 v9 `. x. wcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
6 b3 g1 j. n- |6 P9 @, x3 Q1 H3 R. c2 |6 ^1 _& o- J Y8 q, T& V
regsvr32 shell32.dll /u /s //删除# x6 R# P. V8 d/ @9 K: C; @( X
3 o! Q3 g n/ P3 Q% D
3.如何加密asp文件?
. Q- J Z( H( F; U& k+ T7 W4 r: `) Y" G, R
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
/ j3 Q, k6 M' m( c2 [
- T% q2 l# M& \; c8 p安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。* R6 _+ `. |1 e% A0 b
" j, T: y; K$ \) ], {: u4 |; D- k& _
运行screnc - l vbscript source.asp destination.asp# s8 f; V) r [1 A$ ]
- Q5 P2 {" N! _, \2 z生成包含密文ASP脚本的新文件destination.asp8 u' `9 [5 L5 j* t' A9 e0 j
+ c, j1 F8 \" G+ P" U( I( b% Z用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
, E0 _- `7 I4 }& ^6 N2 b3 D' r, ]& m/ u+ t! S% y
但无法加密中文。
$ z+ M3 V* c, e* E0 T8 w/ b$ t3 d& l* p: Q8 A7 J d
4.如何从IISLockdown中提取urlscan?
; m, i+ G# [# l! A; l- j, |2 N& W. ]
iislockd.exe /q /c /t:c:\urlscan
* N9 y+ q8 T3 S: c6 f7 ?/ f! F2 Z3 D$ J7 ^
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?1 ?+ v6 t# X" s7 p% x/ U4 z
" _. p7 N7 C; ]5 A* G执行
7 w$ o' q5 q+ s* r* K
{, z9 q1 X+ Y6 D8 v9 V$ \cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' _2 \8 O; k/ D8 ?* Q: |& P P' }4 C- N/ j$ X1 a5 S& N
最后需要重新启动iis
5 z' i' w( a7 n
, T! Y1 k- ~7 e% o8 [6 h6.如何解决HTTP500内部错误?$ b" }3 ]' U* t" u1 C1 s% U
' R, C9 }. Q2 ]7 D1 Y5 v
iis http500内部错误大部分原因
$ W' q8 Z4 E0 t6 u4 e- D
; N7 N3 N( d0 z% u主要是由于iwam账号的密码不同步造成的。
& r3 p/ |+ k% ], t! Z+ j+ E( q5 g$ k4 f- a* O
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。& _+ v9 F+ z% \& T2 F
; w( P1 b' r; {" }
执行
& d) l( F* p) q; P( @* q1 u5 K; }7 `9 X$ r
cscript c:\inetpub\adminscripts\synciwam.vbs -v) E' y. }: E: I; d, T
* f; l, f- }4 D3 s- T! l7 w7.如何增强iis防御SYN Flood的能力?* j2 f1 h( C4 H" W* k- W# b4 j
- Z1 ~3 X& d' X) |+ ?
Windows Registry Editor Version 5.00
7 m2 \6 }$ ^6 v E1 }, A8 S
/ q& A {+ T( _4 A% S8 p[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]' w* t. @) h4 N% j: B, ]1 w
, \7 |4 i) Z( m Z% O5 z% F
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
$ ~4 l% h# E6 ?3 r/ x" K! b( W8 t5 I4 ^3 V) V8 X" `, e4 n
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
) g' L9 d# x6 m: E5 j
+ F1 @' {- I# i0 ~$ l- J. E' v设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
' ^, U7 V. p, h, M! m* R$ J ?& J6 t4 T8 P( E" Y3 K0 {3 v, Z, Y2 x
"SynAttackProtect"=dword:00000002
5 U5 ?. ?: D! @9 m2 U9 c9 Y5 m9 E6 p4 ?, U6 Z- ^
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态8 v' @/ ^& ?& C0 y$ _* |8 V
# t" n# H, ^/ ~6 D( C' R的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
; D9 ^$ |4 t" U( C9 X a. A; p" }9 Z
4 o) x6 [' i- g6 `) B, s"TcpMaxHalfOpen"=dword:00000064
1 B' F( Q% f6 N0 D q' g; d1 a" J5 H+ x( @+ Z
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。6 G, a& g, G5 _ z% G( B2 @9 _
5 e$ j* T7 ]/ C"TcpMaxHalfOpenRetried"=dword:00000050
" `1 d! b: d2 k) A& t' o5 u
2 T7 Z1 a8 C5 j设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。6 u3 k8 L4 z* e X. |/ H |) j
; m/ J1 R) ?4 X8 m
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
9 Q( m8 R! ^3 O b; [) C) r
" o! m3 V6 C7 d' w微软站点安全推荐为2。+ I) G9 f5 q0 I0 v% K1 j& T
$ t' r& h3 e% k6 z( ?1 i
"TcpMaxConnectResponseRetransmissions"=dword:00000001
- [. J% ~% U$ H
8 G' J0 `6 L7 O0 y) a; ?设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
9 C. s. U, I( W0 e
7 K: R) I$ n8 @7 s: A"TcpMaxDataRetransmissions"=dword:00000003) V, u; J. j- r, o$ k
0 r, Q: v% G+ Q+ E$ y' ?- v设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。/ g5 |$ Z% a5 u2 d
t+ S5 P2 r! }$ r# P/ |7 X3 P
"TCPMaxPortsExhausted"=dword:00000005
" \5 a [2 o; C {9 K
0 t3 Q: K1 z) ~: K+ G( W禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的9 J; `( l) Z& Z# G" D7 j
6 X% J2 U) P4 T- S* C% D+ P源路由包,微软站点安全推荐为2。
, s& f" G4 P. W1 M
6 o t% h) C2 @"DisableIPSourceRouting"=dword:00000028 y( P" v4 O4 ^
& g* p9 V3 n8 M$ E. v限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 a- k! L% d; J8 T( N1 |$ {
/ {7 `2 U; G, v2 N"TcpTimedWaitDelay"=dword:0000001e+ ~( _0 p% d6 m% M% f
3 w6 p" f& ?% Y& c8.如何避免*mdb文件被下载?
0 W6 n- C, q% J& b5 A, L+ ~( b& Z3 T8 r6 ?, ?8 W8 D
安装ms发布的urlscan工具,可以从根本上解决这个问题。
( n% v) W- N6 g5 d% k
9 o! M4 [- d! w1 p+ }7 m; o) k同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。3 j, a3 A" ^6 o* j! Z
- s0 p" n w* Q9 x: l" u6 ^9.如何让iis的最小ntfs权限运行?
9 u& n, ?0 M9 L+ `- V8 t( } K( t% @$ p5 X- `" l W1 j; X
依次做下面的工作:
: b0 X( H4 F/ i" j2 m1 L# I: l7 q2 P }# W( G1 Q1 N& B
a.选取整个硬盘:- ?" ]) U: w7 T6 g
: t7 ~( Q0 r( yystem:完全控制 L, U u8 r6 Z6 s( e# q' P |1 w
% p5 `2 m$ I: k3 D) ladministrator:完全控制6 d5 p$ W N$ L0 }$ V: d+ K
. Z# A& @( a( _% [. J0 ~4 l- c. o
(允许将来自父系的可继承性权限传播给对象)4 D8 F$ O+ Q/ P8 d; \6 O: t
" a. W: i, K9 k0 h! {' K
.\program files\common files:
2 z5 P4 C" A9 \2 w; I. ]- a) a+ R1 R+ [) s! K& W
everyone:读取及运行 _3 h0 l& l1 L! A- T3 }" o
4 ?6 E4 `5 ^/ [4 I a2 L3 `" k$ y4 d列出文件目录# Q# J) z R+ h( [
9 t1 f+ _( V% X5 s r+ `1 ^读取
3 J$ [" k$ c2 y5 N5 o8 u. [
# K4 D# e. Y( l0 C* f(允许将来自父系的可继承性权限传播给对象)( E) `4 a; V- m- a7 M) n2 n- \
l6 y) L5 g$ s+ z" V" Y; z- ~
c.\inetpub\wwwroot:- @' n. X9 d V* v# G
1 }' F4 ~. E# H0 }iusr_machine:读取及运行
0 i1 M$ F3 b+ @# ?8 [7 w7 y% z2 Y. _; m: i9 ?. a
列出文件目录9 H; y' {/ H1 J$ T; K c
, Z5 @1 z1 V: Q' m4 n# m
读取/ a1 A6 {$ u1 `+ O @: d
* ?# G+ U# x) C* b
(允许将来自父系的可继承性权限传播给对象)
0 ]. z% b7 R' [7 k6 Y5 E: A% J( y1 k0 v# }- m( L
e.\winnt\system32:
1 g' @8 l! p. L) B, e
( T8 x; X# s8 O8 f选择除inetsrv和centsrv以外的所有目录,+ w% ~0 |5 p0 m# v: J, T- X
* `% ~, C! r" R. U ~! J" T" x" f去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& o3 F$ O2 |; p* {5 k7 q, T5 e1 ], I* X
f.\winnt:, C" l. D$ q# |9 C$ u& `
% n$ B: G1 W9 n0 \选择除了downloaded program files、help、iis temporary compressed files、6 l* I& j6 H8 u' K
. N7 F' H, A: L. ]( a+ m8 O
offline web pages、system32、tasks、temp、web以外的所有目录
$ l0 c& m8 W3 U0 f! D' h- N3 O" u- Q+ @; J
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 y/ D: n& I; T: ^: a8 f. ~
/ u0 D% J2 ^& H0 P8 z' E9 Zg.\winnt:
. p* ~$ o4 _1 s, g3 z) O0 |0 t/ H4 U, ], O) ~
everyone:读取及运行, }4 |# j; `% l6 y W: _( O6 _
5 R( [/ R& k) D8 ~. Z
列出文件目录% Q, k l1 Z$ W: H# [
8 V. c5 q- X( ~& s [读取(允许将来自父系的可继承性权限传播给对象)
! g: C* g+ T U7 J3 Y! P2 Z! X8 d0 y8 U
h.\winnt\temp (允许访问数据库并显示在asp页面上)
: J6 i$ r, W7 q/ K; _3 h9 \5 o
) C5 H& t( a1 V3 c+ j! {everyone:修改2 S4 L. c. }5 Y% ^1 j" k5 A
, w7 G6 g$ F6 C5 B+ X( d(允许将来自父系的可继承性权限传播给对象)
5 T4 D& ~& u( m# ?6 @( F1 S3 d" u9 l3 u# R, i g3 }
10.如何隐藏iis版本?
' n F( R* J+ g* {
; x' ]: E4 P ]: _ e一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
* i0 Q" r# C# O' r7 {3 J3 G5 [; W$ M+ r. ]) \9 H$ e2 h
iis存放IIS BANNER的所对应的dll文件如下:! B% K6 U- L% N1 `6 g/ y
5 [+ J# K6 F* u; L. |. [, S T
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL5 s5 w( ? L1 H4 E
. T- S% z8 i a6 ?
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL( ]2 A1 W6 w' j" J
; d" ?5 l. m; U8 G* D# E* U8 K& YSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
( l( J; L1 `/ y" E7 u5 @1 ] }0 V N
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.06 {. q" O( e! p
" t t8 c+ c. e5 E: h( Z& l具体过程如下:
/ L0 Q2 d5 ?- b7 V! X8 Z5 p2 `
' b1 _) Z4 c( s6 z' `3 n1.停掉iis iisreset /stop. _$ j5 T Q, i2 R7 b3 K
# L, J5 v! E; t0 H+ E2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件4 T9 G7 w' |& w+ G
. J! a3 s8 B b+ M9 W3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡