|
|
1.如何让asp脚本以system权限运行?
# B. X' I+ ^! w; ~$ O S p" e$ U3 P/ K* p% M$ S
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....5 G. q1 n$ k1 ^0 x* S
: c$ p7 w: L- }! d0 c
2.如何防止asp木马?
' Q' g( e+ K4 T9 X% }3 W, {8 Y8 s
5 k* z6 q+ Y& V- P8 d/ ?基于FileSystemObject组件的asp木马9 ]1 i8 F% t F+ Y
6 e2 e, b2 j5 D5 O; h. ]cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
3 R1 f0 T2 b* }$ e
: o7 N; W7 M2 o. f1 Kregsvr32 scrrun.dll /u /s //删除9 O2 M6 V: \/ L
& ~5 _0 q7 z0 H* I
基于shell.application组件的asp木马$ `' b: [4 q2 N9 ~2 g6 ]( {, X
6 | W2 h# F9 L% g
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
6 _, j0 X( k: E, i
+ Z; \, t5 W7 jregsvr32 shell32.dll /u /s //删除7 j; U1 g% v8 x, Z4 R
' s6 @; b5 [/ ]3 z3.如何加密asp文件?; P: e8 L, M F4 U$ J% D0 V
( B. j$ ?- y8 | n! i8 W从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
1 @& a5 q- c$ X& q" B# _9 ~" ~# ]: o! w I
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。: }$ G; _: W; U
- w* z& s8 z, K+ ^" W) q+ w7 u运行screnc - l vbscript source.asp destination.asp
C4 k/ o8 E( ?6 i
' E( r5 x" B& z( m! p生成包含密文ASP脚本的新文件destination.asp" ?6 P* b3 s, N3 E, Q3 O+ f
8 l9 n; T, A8 `) ?
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
4 M- _" w9 U3 m) b& A
" H* E1 H6 _+ d: V2 K但无法加密中文。
& ]" i5 X8 |6 L* E6 X5 x* @& q0 @' L( T& m' v8 z
4.如何从IISLockdown中提取urlscan?9 D9 M+ f; B8 M2 {- P( Q- k1 m
- s# o, c; x, g" Eiislockd.exe /q /c /t:c:\urlscan
8 ^/ \1 i( B5 V9 ^2 M) ]/ B% u
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
% Z; a8 n* q( i$ `* y1 t
' Q8 f3 Z9 V! ]+ y; s) o# D执行4 `# {. I# h# m' g" a
: n. r5 q5 l. ~/ W) n3 k- _" D F2 d
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True2 [" ~" t7 ]0 d
# i& p( A" U8 d; H& W7 E6 i最后需要重新启动iis
9 h! T# S7 A. k- ^# u, \1 `) T+ K0 i! l4 e3 m0 v$ c) J
6.如何解决HTTP500内部错误?
5 d' X* M( p( }! z* D2 V1 H/ ^* o' _4 N4 M; l7 P
iis http500内部错误大部分原因! Z9 z8 s' ~ k2 }, x7 b
. [1 e" y8 ~5 e, a0 V @
主要是由于iwam账号的密码不同步造成的。/ c0 t) m( p* f( ~! t+ ~
7 V, l& `* W* M4 Y! p我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。: u. b" P( ]1 Z* Z
) [' R4 [" X8 j7 x- H执行. c9 x9 q! Y; k" h6 T( A/ P
$ |, X6 n1 j- d' i
cscript c:\inetpub\adminscripts\synciwam.vbs -v
# u' }. x0 ~6 o& D" E9 f& q. T; i
7.如何增强iis防御SYN Flood的能力?
' t) N) i4 r9 o) w% h) l+ c5 i- s( r' p
Windows Registry Editor Version 5.00
9 i5 p: b. ]- P/ ~) P
; S. P) ^+ \5 P+ e[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]; G- v3 S2 E% R, w+ ]: Q
6 Y. a! W i1 a2 A启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
, K! P+ a" ]+ [, ]8 v: t
, ~9 a' Z4 A9 j+ h安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
0 A' y, f7 y$ z i
% R1 o& {2 T/ Y" s设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
: U d+ c2 |. u
; d$ ]7 I' M, v8 }' |" A. n"SynAttackProtect"=dword:00000002
$ w+ H2 A- o/ d8 l* [
$ z3 C Y2 \# L3 s% S) |同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态4 J1 O5 \$ W7 P# R' i% t
5 b- b1 ~* b2 X# }( M; Q( k8 q
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。7 p) B* w: z: J1 r
+ P/ Z0 w# F" m u) g" e! y"TcpMaxHalfOpen"=dword:00000064# ?) B3 l- ^1 Z& m8 G/ L/ x/ g5 p
7 C9 f/ _" F4 I; m/ k; X0 D- ~
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。' q; l0 G9 X5 k8 }6 J, y# o
+ b1 b+ N# r* `$ `"TcpMaxHalfOpenRetried"=dword:00000050
( c. b H: D, i6 Z* H4 C! i. p+ O9 D, D2 C0 V( R% ]& B: x
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
% r- r; D+ H+ g! g! i- U) h9 s& w
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
- `9 X! [9 k7 c1 v% l; c1 e k X% V3 [$ y8 x0 z4 t
微软站点安全推荐为2。6 \# G9 N) `: X" v
# a, ~, v( P0 I) w( f6 U"TcpMaxConnectResponseRetransmissions"=dword:00000001
- D& r/ d b/ S4 s7 D3 h; d+ N9 E$ Q3 }
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
( Q- K+ a ^! J! C9 O+ z+ \
7 [* Q. o. H. B; |6 Q"TcpMaxDataRetransmissions"=dword:00000003
8 j/ O3 I. Q5 i+ Z* T( p N5 H+ j: l
+ F; S: g1 O, \0 r设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。8 J, T' u; d8 T3 y- J0 \
+ |+ D9 p. M& F"TCPMaxPortsExhausted"=dword:00000005# Q8 A( |; Z- R a% W$ `
6 B" A' f3 u' u. [" X$ [+ W% D" {禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
- a2 x! w; q3 \6 W0 F) L: c
0 v8 ?# s& V0 \2 F源路由包,微软站点安全推荐为2。' F4 h! y, @2 Y
4 Q. @4 Q0 C, H0 ~
"DisableIPSourceRouting"=dword:0000002
/ t- x8 i- \( ?2 @# B( C8 N1 E5 x$ S; N. |/ y4 w3 |" I
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
y4 s- R- r& i8 U3 `$ C2 K1 _+ s+ r/ o0 N
"TcpTimedWaitDelay"=dword:0000001e
" f' y6 A- N" h' b( _) \- Y8 \/ }) Z3 e) R. b, x; {" I R# ?
8.如何避免*mdb文件被下载?
; Q, i* l- e. E3 v
; o: X+ |1 g8 n5 y安装ms发布的urlscan工具,可以从根本上解决这个问题。) m8 L Z9 E1 Z% s4 |
! E, }$ Y4 Q/ w7 J$ f同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
2 I; m* |: c6 N8 y g3 L3 I
2 J+ [4 f s" T0 z, _% h' w9.如何让iis的最小ntfs权限运行?# |! }- A; E+ x- t2 |
- p' Q' n# ~& D! b0 ~
依次做下面的工作:" ^' p. m: L# n, H/ Q1 P$ m# y4 w" m
8 G/ @+ _9 f1 d) x; y7 F
a.选取整个硬盘:
+ V! W& r( J, B2 j1 `+ w, f/ d" n% |; M+ z9 ^: ]
ystem:完全控制
& Z* H0 L! ], y! \+ Y
4 d6 x( s: W0 m9 t, C$ T/ Dadministrator:完全控制$ h8 W4 j6 Y3 V, D9 `3 J
* \7 d0 d8 p5 C( ~& _$ U8 z
(允许将来自父系的可继承性权限传播给对象)
. ~- {7 G8 d5 f, ]* b( C) s* v6 w. I+ q, J6 E5 e9 _! S
.\program files\common files:
! ^/ {: H0 Z( b8 ~& U* z( m: o ?. r3 Z1 z0 a h
everyone:读取及运行2 `4 t5 L$ Y6 O+ P, j, r K( g
; [+ z% n g. X0 k- Y$ s
列出文件目录
: q+ d& h2 [, ?: v3 K
6 z3 X/ B/ T1 K! l读取
6 V1 v/ I/ G6 R: }* X. E
0 R( v6 A0 X+ ~7 o; W( X+ B(允许将来自父系的可继承性权限传播给对象)
; c; ^' z/ E6 V' D y" B7 P. {$ E2 {
c.\inetpub\wwwroot:
" c+ `# d; n* T9 G/ {! t
4 n9 y' Y7 ?" B! ~" t% biusr_machine:读取及运行
- _( n6 H0 P- i+ n, l4 F2 e
# y4 b9 w, f Y' g. j* l列出文件目录
# ?% q/ X: U- j. N: Y. D; S% n: y" k5 R* u- p4 F- ?
读取
: { [; q B' e+ e/ B' |" n
$ q# L0 ^$ ^, _& o/ N% U# |(允许将来自父系的可继承性权限传播给对象)* a9 Y8 c9 ?% g0 f
" k( W: j0 T5 c3 u9 h7 Y
e.\winnt\system32:
: J3 G( D0 u G5 Y* e0 X. H1 u4 w* z/ }+ n; P: d* I7 P
选择除inetsrv和centsrv以外的所有目录,
# H: f; B3 n% }& M5 r6 ^2 V) i5 f2 d8 {# s& X+ y. o5 M
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. U! r9 y- Q$ |
4 j" \7 I8 I8 E6 f' `! ff.\winnt:
% D. j$ V& K. O3 H* s K! J) A8 z |
选择除了downloaded program files、help、iis temporary compressed files、
* e+ V; M0 V+ h* o. b# T+ }& m! j
/ _4 ]" s6 F3 Roffline web pages、system32、tasks、temp、web以外的所有目录
4 {8 j8 z7 ~, p$ k; T: O7 O4 y. y9 Q0 Q: @
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。. M0 w! G% K$ A' E
4 y- n" W0 }0 x6 N7 Lg.\winnt:
2 d0 |/ f& G& o- I0 t4 T
) ^7 x6 A# O. u oeveryone:读取及运行9 q& e. y+ m/ b/ K
/ v# h* ?, i" d+ S Y' L列出文件目录
4 I; g2 L. n0 Y# ?: z3 ~! Z
% U5 A# K% \' D6 d( [- o读取(允许将来自父系的可继承性权限传播给对象)
+ P* K: M5 a# u/ D
/ i' `% D. s r) {7 E- m6 f# s8 f3 Sh.\winnt\temp (允许访问数据库并显示在asp页面上)1 e. W) o5 S, {; w/ V8 H7 J2 p
% v8 g7 }7 I1 g3 Qeveryone:修改
1 }6 s7 a! }. E/ ?) `
3 g5 V! m% m( o$ d(允许将来自父系的可继承性权限传播给对象)
, E1 N& ?, W f0 Z8 j1 G% T' T: [ p2 e8 Y5 z
10.如何隐藏iis版本?! P- Z" m6 ^ c; i- t5 J
4 s7 z, X+ k; V8 {9 B0 O- E, h
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
- e0 K0 t8 n/ s* e* B
/ g+ {6 a9 m- o O$ ziis存放IIS BANNER的所对应的dll文件如下:4 _5 b6 N, F3 d9 u. b7 X& z
6 R% X4 {+ F1 W- u: I- q8 n
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
( b' o! c# I# i4 \
' \8 j9 B, Z5 j' x+ ZFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL8 @# k' e" J: X/ m
* S4 T! P9 ?8 S( {$ d! q' e
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL8 ~3 ~" `! s# g; Z0 g; j
: x7 P& t% j& ^- j$ U# y1 O R2 i8 G
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
6 x. m, s" M6 I5 y0 ]' i
E6 {6 E, A6 o$ M" g+ V具体过程如下:
8 L3 L1 M; p' F2 F0 C' v$ K" q* T' K V0 Q" X$ w3 h1 Q5 o" y6 R) N
1.停掉iis iisreset /stop) A6 Z, H+ f$ ] [+ X4 {) r' S7 d
: Z! i. x) d& ^
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件4 h) M* X2 O2 m: o3 c! P, `
4 D, W! ^# g. r3 z
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡