|
|
1.如何让asp脚本以system权限运行?
$ d8 \+ ]3 p }) l. k0 Y4 F: R+ k, M
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....+ a7 }1 x G V/ [9 h7 w: u- d0 I4 }
' Q3 S. e3 [$ a6 v3 b# _; |2.如何防止asp木马?
% H) R& c$ i( S7 c0 j5 r. l% `, _) L' W( k7 N3 G3 H" n
基于FileSystemObject组件的asp木马" h2 A7 t$ E( Y1 Z: D6 j t
' ~ z& W$ W+ Fcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
5 L1 C4 v8 ~* R& Z, o' |9 |. A7 X- o' n8 M$ V2 Q+ G
regsvr32 scrrun.dll /u /s //删除* \% p9 S- C7 M( V% J9 s
3 w8 P# ]! s \' y3 k* g% ~: [: T基于shell.application组件的asp木马
' J% H9 w6 B: `% ^
0 @! ~# Q$ R. z y, o0 Hcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
8 X0 h7 _7 Q% N4 B& ~
& O& S- Z, ]: eregsvr32 shell32.dll /u /s //删除
; r N$ y3 \; C3 b7 }9 J8 e) I% K8 }* \
3.如何加密asp文件?* g& W8 {+ [$ ~2 v% m `% e! p" U
( I% R! u2 @: I8 b, l
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。7 Q' e0 g* y# s+ Z( F0 ?
' |; D! R4 c- ~, A" a
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。4 @. M* G4 y/ e5 ~2 K* o q
7 Y7 ]% V' p/ g- v5 U1 s, B运行screnc - l vbscript source.asp destination.asp
% p3 l& \& s9 \2 ~" t
5 J% z- n" o" b4 G) @生成包含密文ASP脚本的新文件destination.asp
; T' ~% i/ G; l) i" |( ]/ `7 M; G( P) o6 S4 M9 R5 Q) F U$ O3 D
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了- S1 U8 f# z2 q: ?* |% k1 w
: K4 w0 U' [& y& [3 a
但无法加密中文。* }6 A$ w/ M9 J. o* w T; K7 f
2 j. i8 R6 n& m2 Q j
4.如何从IISLockdown中提取urlscan?
- A: ]$ a5 g0 }: t$ h+ R( H! C& H7 E. n/ y. \
iislockd.exe /q /c /t:c:\urlscan# n2 e8 J& Z V6 M5 M6 [3 E: a
' @4 k. X( }' n( |% M# @9 H8 L3 c5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?! M3 _4 B# P2 M4 @. n0 Z' [, y
) A) c+ v! L& b/ j
执行
$ n8 ?. O4 E) |2 G2 q9 D" t( E
9 ?$ L: m$ q# @& {6 J1 Y1 [cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
6 ] ]9 { C' r
5 U7 G5 y$ S4 {8 B1 J# e最后需要重新启动iis/ p) w2 L d6 |- ?8 A7 V b4 L
. e* Z/ r y2 ]% M6 {
6.如何解决HTTP500内部错误?
- ~- E1 \( [ L5 T' b9 Z
7 [4 S+ t# ` Q5 tiis http500内部错误大部分原因3 ?' w% M, D0 u) g. s6 a a
: q ^5 Q9 T9 k7 v a
主要是由于iwam账号的密码不同步造成的。
* V1 y" ]; V7 A! g/ x1 m( J( X, z2 m4 I! e! t& s
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
3 M) J$ @5 x: f' I7 y5 n8 [+ _3 D# {: |. u9 V; B) T
执行
) u. g5 ^# [. e% z( C) }2 j. U- T0 t/ O
cscript c:\inetpub\adminscripts\synciwam.vbs -v
6 r* U: M J8 O5 `- S( x9 { x0 g6 y, Z
7.如何增强iis防御SYN Flood的能力?5 X9 H @ N& @* m/ @6 |( A
2 m1 P, N) w% T
Windows Registry Editor Version 5.00
# W& y, C/ f7 Z
8 W4 n' l& b0 X[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]4 I) E2 e. l a1 k; p5 I( f
; A9 f! w7 ?* q9 ~
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后) y, P) O/ G4 S- d
Q! Y4 Y* E6 S& c安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值; ~( m* e& E( A
; L2 d' D. [2 X$ ~
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。( T+ b1 d$ u+ W G/ {/ e
$ R/ o, z+ o' v"SynAttackProtect"=dword:00000002+ z0 n& ?8 j4 a' g& G5 s9 n. e
, [" x& h5 C! O2 p同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
; I/ V l4 j: _; \! T1 R- V- {% p% q4 X/ u/ b& c! Y' n: L
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。0 @7 M c' j* c; ^
$ z, t# U( H% H. y( i0 b( D
"TcpMaxHalfOpen"=dword:00000064
0 ^9 K1 y }$ q8 M
- K; K" e% I4 Z% J' a* s% f' T判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。- f$ `2 ?( \2 x/ W6 d4 M
% l" |& B& y, S
"TcpMaxHalfOpenRetried"=dword:00000050& O! O! Z- o0 W; L3 b
1 |3 S! f" G" B/ r3 b f设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。" a# n$ n- p! ~# J- L
4 }0 J1 ]3 g! V! X( e) s项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
4 q8 y8 Q. z2 i7 @7 t$ q- P: J2 ~5 B
. R+ X6 g1 |0 A6 s5 J7 U/ K, G微软站点安全推荐为2。 Z# |: E; L* k# ~! d# d
; B: C" C3 L2 i3 ? W1 a8 L"TcpMaxConnectResponseRetransmissions"=dword:00000001
% `& I: {) I) |& N# E3 W. ^+ w
! C1 ]8 U& w) b( D7 Y. [5 D7 V, Q9 l设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。% g- o0 l; m1 M5 v
4 K' [ y, l- f# K+ Q' @
"TcpMaxDataRetransmissions"=dword:00000003
$ s5 V, B# R* f
3 x. ] l9 y( {% U) ]. Y5 L( U& P$ M设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。, K4 J+ E$ p0 {, I+ P# ] [3 J
# b- f1 {; w) ^3 V
"TCPMaxPortsExhausted"=dword:000000055 T$ P# O: w! g6 N5 R" @
F7 d4 d4 Z: m8 N- H9 V6 G' D
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
4 @5 J o8 }* S9 ?' ~$ ~3 e: r2 o& V3 x7 [& u
源路由包,微软站点安全推荐为2。% O0 l! o( K9 F) O) f
( }6 r. N! L" F& h+ x: f2 T
"DisableIPSourceRouting"=dword:0000002
$ v; c" l8 m* M \9 q! e; ~9 `" M) ?, M l
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。4 j& h% T" p, c6 Z8 n; u! V
% u5 m2 r8 a3 D0 I/ E. a9 K
"TcpTimedWaitDelay"=dword:0000001e$ e* T5 T9 n& W4 b, R
3 d& Y4 t1 F3 D" U6 S' m3 L2 Y1 j: v8.如何避免*mdb文件被下载?0 ?( b7 `4 E( G7 Z; ~
~3 ~) L1 U& r( P" b$ D# G& o5 I安装ms发布的urlscan工具,可以从根本上解决这个问题。
7 M* W4 w3 ]7 Z1 A* x" g7 `& D/ z- H9 e0 w: D) K6 m
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) H. _& A: k! w6 m- v
) p P+ T& q. m, q" D; z" V& Y! H. }9.如何让iis的最小ntfs权限运行?6 Z4 {* x: m' q" D$ G! v4 L
% W. e# t: e4 R/ N2 Q" ?1 @, ?: }依次做下面的工作:
4 z! ?8 f k) v7 ]# K
1 |# p/ u: E% j7 la.选取整个硬盘:
+ p* Y- l" O( h" w
. D( y3 ]6 e" e: }ystem:完全控制
3 E, u" ]1 ]) z. B3 M; A0 [6 J2 r$ P+ J5 @4 {
administrator:完全控制. b4 k" v; S5 V$ Y
6 E- t; a. O2 f; N/ s
(允许将来自父系的可继承性权限传播给对象)
" j& `& V/ p. b" X7 O1 `6 |: j" i! r4 Z" q4 G- [& R
.\program files\common files:; K3 y( i+ A( ?4 m% v; o' R# X6 i
7 f+ B; l& P" s1 O& p+ y; _9 Eeveryone:读取及运行2 V0 [; V/ Q I" G
- B- o1 E! q; m6 j7 [8 x列出文件目录
7 M: j, ]) ?, y3 Y9 E* f) F
5 g( ^6 h- I, B( @6 ?. Y: h: S读取! ]% |' I: t+ y& L
" w( ]$ d& Y1 W# u( p
(允许将来自父系的可继承性权限传播给对象)
5 D8 W& Z2 I$ A( [7 A/ w& v% E+ i8 d3 Y
c.\inetpub\wwwroot:
$ x: Z' q3 ~& x' [) m+ f# R
. x4 t0 h: @0 p- V }/ f) Piusr_machine:读取及运行0 @) C5 Y+ M# m5 H- q* {$ r
* x) ^( G' B5 s列出文件目录
% P8 [7 z) h X F6 j" F. o8 { C/ F" I/ l+ H
读取
& y* u8 B% |( d" ^; J( l* n3 }5 e5 `! O1 X/ n
(允许将来自父系的可继承性权限传播给对象)
' x; P' ^& }' r& U. O! Z0 Z& c+ M2 Z7 L: t I# J+ j
e.\winnt\system32:
x. B& S3 R4 r/ a
$ r) `0 }4 r2 `, s0 ?$ h选择除inetsrv和centsrv以外的所有目录,1 {6 @' I- ?' I5 K
% c* V' Y+ U' o6 |. O, K- g8 t8 B
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: L5 }6 N$ Z+ l8 c9 g
: Z" R. @) K* R3 B! F/ ~/ }. Z7 Lf.\winnt:
; {! N2 p& d3 R$ @" Y! j
$ N/ G+ d' A. }3 V/ O0 h( b选择除了downloaded program files、help、iis temporary compressed files、0 H A, U8 Q6 T/ C8 r
; O- g) ~9 u1 t0 G2 |' Woffline web pages、system32、tasks、temp、web以外的所有目录2 Z% C; [- o4 {
; C- F7 f0 I4 {' I
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。5 X9 \# y9 m; W8 V/ B, q
! g2 J/ y0 d2 K0 O' T1 rg.\winnt:6 V/ l# e1 e; d2 z! ]4 Z
/ m) K3 `) f6 ]5 e5 N% Ueveryone:读取及运行% d, C. w1 ^3 C1 \* `
( A3 y" E8 q$ D& X" l5 D# I列出文件目录6 d ~4 u, u! p3 y! P# {3 }+ [+ j
) P- a# j9 V& E1 Z9 f
读取(允许将来自父系的可继承性权限传播给对象): R* M# |4 Y4 N8 a* ~* U4 W
! x g# m0 W$ g, k5 w$ e; G
h.\winnt\temp (允许访问数据库并显示在asp页面上)
7 H" W: p! j# M3 Y! M1 ~, A# Z: ^
1 p+ p0 t; r3 |( h5 severyone:修改
' g" s* Q/ _8 ]8 \! u+ E# L7 I% }; J6 i! s! \/ x/ u
(允许将来自父系的可继承性权限传播给对象)
. u3 T! W7 @0 q5 A$ C9 k5 `1 r, Z9 I$ v% I$ A+ {( t9 b3 H, d
10.如何隐藏iis版本?5 T- l+ e3 w. J; b' K8 r6 {+ B
, U% y" W! E* n1 I A4 r/ @
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
5 V {1 J$ E/ H c. T ^' |: X! k: i! ^
iis存放IIS BANNER的所对应的dll文件如下:
1 I' ^5 `. v+ {8 t7 H3 J
( g: F: T" _1 I4 D$ LWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL- l7 }' e7 d8 P6 ]# B
! H& K+ B0 n7 B; uFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL. m9 j# E# s& g* d
5 z; ]% r7 [/ o4 D( V
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
: O7 n; _1 }+ m6 b M6 r, ^
8 |, v0 K# }" y你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
# E6 g& l: P6 G6 `( u$ ~6 R+ a, j
具体过程如下:
Z3 {. v7 i; @2 _- Y
% s" T+ R+ o9 r+ w1.停掉iis iisreset /stop( f3 q2 ^7 f) x% f% L
/ t) y( I+ x6 ~# V' z5 y. g
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件: \- O; A8 g1 w. K( `2 ^) `7 H, K# S
+ k4 M) x8 v/ c( A: @0 O# x3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡