|
|
1.如何让asp脚本以system权限运行?
! N' J) G% ?* S) b9 o0 S/ G- [- x; L
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....- N: Y( T4 N- N9 @9 A3 f: k! X
_8 Y& X; q2 T. P+ I2 D, [2.如何防止asp木马?
0 l2 C9 {! G! c* U3 B; v* }* j! b6 f. a& _# \, n2 Q
基于FileSystemObject组件的asp木马
# p0 c. w' ]4 a H
4 [% Z. ^2 U$ z% U) @. ]cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
3 b! Q6 D+ B& A2 G: g& n4 F" R
" c$ ]. w3 Z6 d& q+ d- y! nregsvr32 scrrun.dll /u /s //删除/ ]5 o5 X5 f$ ?- K" c
3 x' _( `* y3 y0 n m, ?# E! a, R基于shell.application组件的asp木马7 Q# }# p' M; E/ I o8 T# H1 p, X
4 o/ j6 D: M' j* I1 vcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
Y0 z+ V9 i. E( C# {# B# H: n) i
4 _- @# Z; g* O( l- vregsvr32 shell32.dll /u /s //删除
+ L0 f% b" k3 J% K, C; {0 N3 B8 w8 T. t, C5 R5 H
3.如何加密asp文件?
, u6 b* @; z2 ~
' q% M6 M5 f. [8 c" y8 Q8 z: J从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。, i1 I$ d3 h% T G, X
$ c* f" ?, J/ r* h u4 _4 _
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。* W, u% z. J8 V3 @% J. [
* R6 |2 [5 l% P8 K0 @ ?
运行screnc - l vbscript source.asp destination.asp; Y0 G) ?+ L& U2 k- \2 @
4 { d7 M9 x* C/ r生成包含密文ASP脚本的新文件destination.asp7 E Z0 r* o" A5 W. i: `5 V2 n
; @6 B, R* Z% G4 b U8 G用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
1 t% Q# _1 H+ Z# ^( T
& W: V2 C' k& U/ K7 ~8 Y! v但无法加密中文。
" G" m5 ~1 t6 Q% z. B( {2 E) T: D$ D; A, C" u1 H( z
4.如何从IISLockdown中提取urlscan?
$ o) F4 b8 s# N0 j0 X" n" F
/ T/ @2 M8 {/ h- c7 ~; Kiislockd.exe /q /c /t:c:\urlscan
6 A: o! D- p; p, e2 F8 a1 z8 ~% s% M! O \: @
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
+ c* M! K$ x% ^$ P; }" O: X* B3 u @, q0 ~* p+ q, o( A3 C
执行
0 t9 X7 F5 V- {3 e1 [) m4 Y- T* {/ o, ?
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
8 e G- d0 q' W0 q0 D7 o
2 E9 M* R6 A" v: c- O3 A最后需要重新启动iis
8 U2 k, O) g. q% G2 G4 w4 `* o+ H- j3 E6 B' J! L( n$ t5 l( M
6.如何解决HTTP500内部错误?
?8 V- f C. \1 J: e& d
7 S: N$ s& w w- v0 Q2 P: ciis http500内部错误大部分原因8 j$ w- v9 }# R7 o; x* Y
4 H; B- m$ f4 N+ |4 P主要是由于iwam账号的密码不同步造成的。
: |3 c3 y5 D8 G& \
8 @) z' f( J' _我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
, T) I$ V2 a3 l% }
+ Y; c9 M; ~, L6 b% F执行
+ N( x3 c$ i- C/ y! p3 I7 k8 [# m# o3 G# \ k3 T% b/ N$ G
cscript c:\inetpub\adminscripts\synciwam.vbs -v7 o2 t# N. D, `7 S' r, ] j# g
5 Q( y, `% _* ^7 s7.如何增强iis防御SYN Flood的能力?
% L# _5 z) t% O
a; R8 H( @& t' }Windows Registry Editor Version 5.00
+ g. ], a" `: U( N3 |; M- ^ f1 d6 d1 e* d7 g; K& o2 F* w
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]% F+ H+ X9 a/ ~$ I; w8 T8 ?
4 `4 j+ ]! N1 w' R
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后- G% ^8 x+ H7 K" o% D6 d J
; l6 D' e" k+ N7 R4 ^安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
. d, }/ O0 M/ o& X; m q+ q2 F- _: l' `# d, S/ Z+ r
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。3 j# h6 k6 i5 x+ j* l
7 f0 T. n7 _* G# k$ `8 T& }
"SynAttackProtect"=dword:00000002
8 x; \" F" I6 ?3 N
; {' U m3 h+ s' G同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态* i, B v. N; J* r
i5 ?! G$ P j! d! `
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
" ^, _9 w; i0 m+ F8 H, h- W% t0 t6 x ^, N* ^# B+ u
"TcpMaxHalfOpen"=dword:00000064
. Z; ^! M) n; N/ v! K/ ~
) X7 T$ E7 w8 y ^* p判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
7 n1 V' s, r3 P+ o
! b& d7 i1 m8 K' j/ j) B"TcpMaxHalfOpenRetried"=dword:00000050/ i; Y8 G9 K' q* j# P- Y
7 E4 c9 _- c+ H- q! X0 t1 W8 H设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
j4 p- X3 |" R6 |4 X- E3 j
( Y( t* E% N a0 A- n' E项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。- k) H0 O5 A5 C v3 v, a% s
0 d6 K1 N% K' ^+ W8 r+ L微软站点安全推荐为2。
- y6 ~3 i2 [3 S5 t0 z
9 p3 ^! z: w% ^" v" D1 d; | \; {"TcpMaxConnectResponseRetransmissions"=dword:00000001
, i4 j1 p$ v/ Z+ l% K1 |! p3 f% i* @7 F3 W2 S6 A
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
" [( ~1 z. H# t x7 g7 ?( R1 c% e9 p- o1 |" C
"TcpMaxDataRetransmissions"=dword:000000037 ]! [4 _) B/ q2 G! o' e, j
" @5 U. V0 s& N
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。# d% k* z# Q% X
7 @0 z( I8 U( b& l( i( F5 k/ x"TCPMaxPortsExhausted"=dword:00000005
; k# u4 k( ]% \0 y; M% O. B. T; z9 `
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的7 }. q: U# _' U" n. t) L
# m2 E( }7 f9 \5 X8 ?1 Z
源路由包,微软站点安全推荐为2。6 W& N: A2 k3 |0 r! I7 O$ e
* a7 U, E7 H6 H3 |1 ?3 j; Q8 H"DisableIPSourceRouting"=dword:0000002
3 N8 z w0 m! }7 f5 X# v# x* [$ B7 U! |/ o9 U0 ?5 e l6 _
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
& q I& e( e# P# E+ s e$ w! g0 V+ n( T' p5 R5 y7 M+ `/ ~
"TcpTimedWaitDelay"=dword:0000001e
. x" @7 ^3 f$ W c; r, |
/ l- H, t3 q0 x8.如何避免*mdb文件被下载?4 M- b b" A/ B* _; Y- F: {
& b4 N2 h, Y9 k* H( A
安装ms发布的urlscan工具,可以从根本上解决这个问题。( A* Z1 ^6 _; v2 F! a3 F
( H4 e7 D! j# c/ B* C& I
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
4 ^2 S' j- M+ l0 L# [; {8 C) W& E% R/ ]; o- c
9.如何让iis的最小ntfs权限运行?
3 d$ E4 S6 ?# f& }' ]+ E. z: N8 y* b8 ^+ p8 S
依次做下面的工作:
3 I# y# E, s5 p8 o
- G( A g! w! a8 @& Z- K2 pa.选取整个硬盘:
0 `( i4 }6 \- Z, l5 F& d) \" G/ s0 t* \. h. E) x! u, Q0 |
ystem:完全控制
4 l5 U3 |9 M- Z4 s% j$ ]
3 D* o% J$ ~% \7 Z. O6 q2 Q* Fadministrator:完全控制( N a& ]$ v" T
: x* R' x& s# w% D. Z3 N' U. D(允许将来自父系的可继承性权限传播给对象)
; V9 w. n5 B" m# ]/ ?# J- D, ~1 z
.\program files\common files:1 Q2 Z3 ~1 m& C9 {! ~
1 W1 {6 f0 y& Jeveryone:读取及运行
/ x& z/ _+ z$ a0 C; Q7 N
. ]* d. ~7 y6 u' [) s0 h( }列出文件目录
4 a2 Q# y% y) x% B% B% o$ T
- q5 c( ]4 V7 m2 r读取
$ `& t6 c8 |3 v% z) T6 D/ u4 V, a: k) _. G
(允许将来自父系的可继承性权限传播给对象)
0 v; u7 W! j! @, N9 S
% t: ]* S y, k! B3 Qc.\inetpub\wwwroot:
# Q) L+ d" U8 k- q* A" Q0 ^8 N. U, @3 W3 a. N. Z! }
iusr_machine:读取及运行
r0 E2 p* B/ Z$ R
& |) I, _* Z0 e列出文件目录$ \# Y" f1 Q9 P# M% L7 V5 }. X9 V) x
2 g6 ?8 u$ E1 g5 x r读取* s, w7 C' u) `! b' `
+ T: I+ |0 }/ }
(允许将来自父系的可继承性权限传播给对象), V+ r+ p" f+ E2 H3 G
' F/ _2 m- D- }. l$ ee.\winnt\system32:* @( [; }7 [; @
0 f1 y, @3 T$ U1 K
选择除inetsrv和centsrv以外的所有目录,
) p Y$ ?4 V. N. G
. Z8 f7 @; x* c$ y+ a) L" v1 q去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
3 m. z2 x' v, w3 d9 T& a5 t- \% a6 s! P6 t# u$ }8 ^
f.\winnt:
. { u! k! n+ E. f: V" X5 S, g3 G' I! E: ?: r! b
选择除了downloaded program files、help、iis temporary compressed files、
3 ~2 S! a, C3 ~3 T
& v9 K- B W' s7 g1 ?- v# Y3 Woffline web pages、system32、tasks、temp、web以外的所有目录 W; L; c2 }+ e# _7 z4 u- g
- U) [! c" ?1 f: E- r. `
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。. m3 t- Y$ H$ p5 m( z
; l9 T& {; p+ c8 d0 Mg.\winnt:: v( a. t; j7 V/ Z% L4 g
8 }$ p6 \4 V9 f9 }( X) Geveryone:读取及运行
" S6 S) Z7 s( E+ Z( ~) Y( F' K- f5 J: p& O: I" g
列出文件目录/ h2 s, t8 @1 n4 G
9 q( c. F6 }' y! C0 t4 B读取(允许将来自父系的可继承性权限传播给对象)" I1 L$ _1 Z+ q$ D
: T. N! _- P3 ?7 o
h.\winnt\temp (允许访问数据库并显示在asp页面上)
' f( t4 O, D p* w# x# w5 N/ }$ _3 ^! h( j6 T& u" |9 v& [: g" t2 e0 L
everyone:修改& G! _1 d, K4 K( t
3 [: r& C% s% a6 S& J(允许将来自父系的可继承性权限传播给对象); I$ ?0 R7 }% E5 @
5 r0 [: ^0 j6 k3 \8 s5 ?6 R, P
10.如何隐藏iis版本?
' u4 j; `6 A7 d: X9 @& U1 Q3 r$ t8 z" c' I3 B/ X: V2 B" A$ s
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
( a. N; o) m5 @( ?# j/ t; |- n' T) F0 J! G R& T
iis存放IIS BANNER的所对应的dll文件如下:: w6 O! _* p4 n
6 y' [6 i/ x' b1 \. p sWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
" x; u8 S% F! _9 j" z5 x) u7 M! _5 Y W: A* n V
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
& Z4 I0 ?6 O+ F6 d6 p6 r0 _7 I$ v4 i: M* X. o1 m7 }7 D
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL' T u M4 u5 y) h3 d
( u( I5 G/ ? x0 q s
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
! P8 U0 O! ]. r9 X5 k" m( ?. ?: r" j: [3 q8 q. i% F( k2 R
具体过程如下:& X% e- U- l; |
7 }0 X* v/ @9 ^1 I- |2 M- V8 Z% f1.停掉iis iisreset /stop8 F: i9 A* b# X/ w$ s
' d+ }7 d% F/ j. N; F, V3 W
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
9 m6 d" F- T F( t! d+ O: h, }0 f, L: u: y; e5 s g# j
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡