|
|
1.如何让asp脚本以system权限运行?
) ^8 h+ R! h4 Y: E
& X, Y3 ^+ _. v% i8 m5 A1 g修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
3 a/ H1 i& E+ }1 B; N1 g
' c, f U. @8 k1 f2.如何防止asp木马?
1 Z2 {: X2 ^/ q4 Q3 Q$ Q- k# _! q2 \7 b) b8 T. \! t" m
基于FileSystemObject组件的asp木马9 |' H) S4 Q/ k. j% I' j n
& y) `. q `7 _. r1 Fcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
- j' z! x- u7 L* @' j3 ]8 Y; I1 \2 ^" l( `
regsvr32 scrrun.dll /u /s //删除6 N/ m# V# _/ [3 _
4 T6 u5 w/ k6 e( R+ n% G! o
基于shell.application组件的asp木马: n8 r7 b3 y; [+ R. e- q! x
# Q9 X7 r1 \2 q, ecacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用- T- a3 u1 [! o7 p' c( A: i; j; o. @
. M$ I6 _6 J6 U3 D# I& k# q& X" r% j9 m
regsvr32 shell32.dll /u /s //删除
6 [; D9 Q) w$ F$ d- B. T. g
- b) }" N+ z' Q" E& i3.如何加密asp文件?/ n/ V" u+ {) ^+ ~# o% Y
; I3 v: G; f2 I( N% ]9 @
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
* l/ X& ~! T) j8 {" p9 w9 s( ?$ R( r5 l0 y7 e, E) _! d% u
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。& C" l" C9 K. L/ J& B5 [, R
+ N) K2 u1 b- l8 P
运行screnc - l vbscript source.asp destination.asp% t- l0 @8 q, ^$ m; q
* ~0 U. {2 O" B& h生成包含密文ASP脚本的新文件destination.asp6 m: n( @/ \8 T
5 q- X0 d5 ?( v" k/ y% |* ~" _7 F8 z
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
, _. m# \2 W- H3 K B4 u8 ?- z; h
但无法加密中文。
4 C$ |+ D7 v; l
# V7 y) E5 t% Y# S2 N9 A7 ]4.如何从IISLockdown中提取urlscan?
+ G9 P4 c8 ^) O! h5 {4 I Y
7 A# ?: ^3 M" J- ~$ [* C' T; P+ |iislockd.exe /q /c /t:c:\urlscan6 {5 P; h7 ]: j6 l8 U- ?
/ I& R- \: o& d
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
* h4 M4 F. i: `$ Y; e( g1 m$ D) j& K; h! x
执行, \) y8 @8 q. F0 E
8 C- g) w+ e1 N5 fcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True) \9 y0 o0 X1 c
, U4 Q" i4 u0 ]! `$ a最后需要重新启动iis& k3 U0 \/ g& L! J1 I& N
7 |8 x* h6 ~( k' B( ?6.如何解决HTTP500内部错误?& ]( N1 U: J1 v5 L g G: j7 a
% Z0 W4 O8 i/ v( h# Z4 h7 f; D( @
iis http500内部错误大部分原因5 v1 O Q8 B# j* ^/ P
( v3 U* o& q Z+ U* p. j主要是由于iwam账号的密码不同步造成的。) ^5 s$ j( h. f) f( I$ T. K
& k. ]# c" {& v$ }
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。- Q0 K- l) L9 X: S
3 N$ G* n2 Z: P! _% |8 J% n执行2 `% T1 ^2 g' a0 d& N. z
7 |* A9 y. o$ z* H" G
cscript c:\inetpub\adminscripts\synciwam.vbs -v1 Z" g8 N7 r8 W/ J
; H" r& D: T- g: S" K2 Z
7.如何增强iis防御SYN Flood的能力?1 K/ D( B+ T5 H7 |& e
$ m7 N, s! ]% d( _6 I9 O }, M
Windows Registry Editor Version 5.00
/ A9 U2 i X! N* j9 f7 ]& @4 I( Q( Y2 W) y* ^
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]4 M. J. ]+ w' `- Y
* J/ Q9 C0 f. Y3 g7 h. z启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后/ P6 U- |' ~6 _3 M, ?* m
/ W2 h: Y! C1 c5 C3 d( {; Z安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
d4 K* x: }$ M6 ~) V8 l6 A. z8 V9 A& B# z% u9 Q
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
2 g! `7 P, S4 A$ t7 N" K% Q
2 \+ |8 p! p& P( s) y( b"SynAttackProtect"=dword:00000002% N, T2 |- f" \0 q+ i( _# o8 r
* T; G) v2 Q& F
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态0 ^ [0 n7 }2 S, G% c3 V
. j8 W9 y# V: _的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
9 x- v4 W& n' |+ i! q6 C* p3 I6 o c
"TcpMaxHalfOpen"=dword:00000064
X- ?) s( c( n- X$ ~2 |
, U2 g. _: v+ A0 L. y; u( H判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
4 Y; h7 t& {, H' X$ f+ u
: l+ E' e& Y! i5 ~ R"TcpMaxHalfOpenRetried"=dword:00000050
5 B4 C$ e( a. j$ c) |% }# P1 P$ g
8 X3 n Q* M, ^$ O9 B4 A$ \设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
* }9 ~9 ]7 C) ^, ~9 z5 c
$ `% P6 U. T6 l, ?项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
$ L2 X# v( v3 T: n/ R9 U& Z* u4 l0 f# z# c; Z
微软站点安全推荐为2。 V+ |! s, |. w$ Z6 W
. j; g9 L. S6 w$ c8 c+ o& M8 z
"TcpMaxConnectResponseRetransmissions"=dword:00000001
( ~4 ~" m. ]3 z* J9 Q- j, d
0 r' c% h; w8 c设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。) R: B1 R/ M: B9 _/ r o! V
, [0 B/ j% G- i& y+ J
"TcpMaxDataRetransmissions"=dword:00000003$ R8 X4 C& f9 l; U
, r7 m( H3 {& ?$ S5 Q设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。+ {- n1 k/ m5 F+ k9 x$ X- Q) c
7 B' g* Z2 R. P2 Z9 F4 r
"TCPMaxPortsExhausted"=dword:00000005
1 O* x/ ~ U7 |* M2 Y3 }! A" A9 o1 }3 [; M2 `% x
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
4 V' L* i; i; {7 I. m) l% N( t# I/ p( W
源路由包,微软站点安全推荐为2。; k; y6 W& j8 U6 v: f& {
0 `" c) Y K8 a. a% w"DisableIPSourceRouting"=dword:0000002
* B& W! i/ [" K& ]3 S: ]3 [ G' F% t5 V3 L8 [
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
, g+ L8 z" V! a' [1 F% W7 z. U. T. C6 j* {. _. \
"TcpTimedWaitDelay"=dword:0000001e
/ G7 s9 I! \% k9 F
: c1 D% d' x9 x Z8.如何避免*mdb文件被下载?8 d+ X" X( N1 @/ d3 y- c$ z, d
, e- j' U2 y C1 v1 J
安装ms发布的urlscan工具,可以从根本上解决这个问题。
+ k/ y8 P9 L7 w2 q) `+ c7 @ g! ~+ ]! Q9 T# h% i8 r
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
. O9 F+ e3 W9 u; R% ]9 D
8 M- w! e2 u; a3 C" z/ K0 q$ @9.如何让iis的最小ntfs权限运行?
7 [) V5 I4 f5 I" O2 b" y: G* Q! G& Y. ^2 |% q; ?4 U
依次做下面的工作:
+ `% G- x' `4 W5 N5 y7 o
8 O( x5 E1 ?6 u7 Ea.选取整个硬盘:* I4 J9 s) {! x
* C2 g6 U1 K- Q3 y. a0 }
ystem:完全控制* d, Y/ j( w$ a4 b" N; A
/ |( C+ q: m# z5 ?$ ]8 H
administrator:完全控制- z) q: g# i; \4 m( L. u( Q
3 |3 N. Q: Z- _2 V8 ~! c(允许将来自父系的可继承性权限传播给对象)" L4 `/ u: W/ U% j1 [5 E! S2 Y
" q6 S6 p$ E9 R% U" q! S( x( K4 G
.\program files\common files:0 o" s: l' c. F" C6 S2 t8 Z
9 |5 [; W) R7 ]9 ?' d1 v/ |; ]
everyone:读取及运行) X1 [' Z0 j6 E/ l. i$ @
0 o' w( [3 W/ w; `2 Q4 ~# B
列出文件目录' Y& S4 d' Q: Y6 h- e8 ]/ Y% [
5 ^ N8 w% [% A! r0 ~8 ~读取
`) O( D5 y- S" G1 Q' ^5 ?' ]8 ?" b. ^5 U/ B5 o+ r
(允许将来自父系的可继承性权限传播给对象)! B5 @. n7 j' M. M2 {5 O% W
) B9 w/ e8 i) A" V) g! `c.\inetpub\wwwroot:$ {& f# H) r! p9 R, a7 N
, J0 D4 j( V& N2 S) Y$ R2 F5 ^# p$ eiusr_machine:读取及运行: {/ ?: P3 Z: I, ~8 Y r7 ~' w
5 V5 y! K& K- ^+ d! P; A& x列出文件目录
% i7 W/ i8 `$ h) Y+ b) N
) y3 c$ a% h+ _4 ~, `- l读取9 X+ D {/ |" e U' ~
/ X, z5 Z! W S: q
(允许将来自父系的可继承性权限传播给对象)8 L8 H0 M5 t' V
, v$ }& D5 f0 z0 M
e.\winnt\system32:
+ m( w2 v2 n) w$ o5 X5 l R/ h0 P: w" z, G% Z1 C* l
选择除inetsrv和centsrv以外的所有目录,# c) t) i% q; O' v. X
. r' d/ o* g \( m) v1 R9 D
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ B* W( u5 H" |: L% Z7 B
% v2 j8 @9 I6 I2 Hf.\winnt:/ Z Y+ I# R: R2 V+ n, e
- x& Q: l, l, d1 H3 R- S! q选择除了downloaded program files、help、iis temporary compressed files、
: G `3 b, g$ m& ^0 W, G: Z2 _( Q1 C1 f* {1 \* H1 |* x
offline web pages、system32、tasks、temp、web以外的所有目录
! P% v% `: ]# H9 M S( h/ \9 @, H7 q" a
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
) ^- j9 Y3 B1 s5 B2 \9 c4 p& X" K! _
6 B- T* t* @$ [9 H4 yg.\winnt:2 V3 N# k% N Z. ~' b4 K: D6 C3 I
7 g/ y4 s% n" |8 V; weveryone:读取及运行
. d. M7 Q2 {# t& A' T! j2 j4 F4 y, u6 S2 K w, t* T
列出文件目录
" j) Z6 F3 G& F3 B7 N! ~2 v- G
, a( Z, m9 g0 a读取(允许将来自父系的可继承性权限传播给对象)
1 v3 j9 |( Y* g8 x
" U. ^. u- T2 N+ J1 _/ f( t D( `5 Sh.\winnt\temp (允许访问数据库并显示在asp页面上)
7 x8 z% n' ^/ v9 D* c4 Y
0 K. X: {9 q. q# G# qeveryone:修改
7 ]5 G5 S7 t7 T4 m4 a7 ]
g! ?1 S9 b% ?/ _* |, d6 s(允许将来自父系的可继承性权限传播给对象)
) `; e' P1 L0 R/ Z6 G$ z2 l
. E1 U* n: j: G I @10.如何隐藏iis版本?; s" B9 c+ M9 e8 q6 a
3 g* r, G) [5 g b' Q8 E8 B
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
5 I6 \; i$ |7 U9 r9 @0 \5 f0 Y2 V9 Q$ p5 F9 z& ~& g0 y
iis存放IIS BANNER的所对应的dll文件如下:" X8 c# |% m! `2 Q$ G! ]1 J
1 m6 m9 r) @% c* V7 C0 jWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL5 o: N6 ?. k3 H9 |& I
) A8 ?3 E4 Z; |. \0 `2 \
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL2 A, s) p- J( |- ^
7 O8 {: o; P( e1 N: B8 ^SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL f4 V4 v' e+ x* u* p
9 V3 U5 B) `$ \# s s
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.02 P0 J( F- i7 j' N* Y
+ q6 w5 x) s7 n( U4 d) H
具体过程如下:( M* }( Q: M: G3 a% ?8 V
% e( D/ |$ p- b5 |* \, X* A
1.停掉iis iisreset /stop% m) |& y3 W& u
' d& j4 ^4 ?; x1 q2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
+ y! W- D5 c* y3 ?5 ~3 U! j
- i& l# |( V. _8 D) b/ c3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡