|
|
1.如何让asp脚本以system权限运行?* E) N' @) S% _$ C
5 ~; U# f1 b6 f# o7 ~
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....* Y& F5 A. |, t: g
( X4 ~4 v0 O0 Y* {2.如何防止asp木马? z) o9 F, F( v; l0 l
. f3 u( m1 Q- N# X# y; ]" D- `
基于FileSystemObject组件的asp木马% n$ y- S4 l7 x( o. p
/ h( g$ w0 K- _0 \cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
! k8 o# V1 w, |# |* Q$ f& f6 I$ @6 W8 g( C2 T Y$ f
regsvr32 scrrun.dll /u /s //删除
% s6 ~. r* K! C# z; w7 _ m8 _" ]% S6 l
基于shell.application组件的asp木马( G* h0 k- z4 \- f5 W
5 l7 v$ U& F( H( x9 a
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
1 A, D8 F) c- j. c" k k/ T$ S
; l2 O# ^) d p" I% z. R+ Dregsvr32 shell32.dll /u /s //删除
- h: B2 f' C& l8 U, Q" q- G2 v
) p; ?2 o5 Q9 t4 y$ m- q3.如何加密asp文件?
; I# m& ~% r& B- }
9 \ m) `3 X1 w+ K S# y, y8 a从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。4 l' ?. F0 n3 m0 X
3 S$ u. m; {0 _" G安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。7 }! S: ] \2 K6 F( q
8 H4 N+ T% c& b. ?运行screnc - l vbscript source.asp destination.asp
! p0 G+ j$ R% P8 D
$ s3 d/ ~ h! U3 R生成包含密文ASP脚本的新文件destination.asp2 A' E2 d- Y6 `$ T9 J! `) z I0 U
" e+ j' o# f9 l F$ `! Q- [用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
W4 I3 @, |9 g1 R- |, T$ C8 l& G9 W( R
但无法加密中文。5 f* j" V8 O. ~5 l7 y2 C
1 W- F- r2 _8 O* E4.如何从IISLockdown中提取urlscan?
" m% E2 i& B. u' Z5 v& b
- R- c; H5 J! Y: b5 i6 jiislockd.exe /q /c /t:c:\urlscan
. s: n. H- a& }$ X6 I: Y5 g4 q9 [$ h, }4 ]) u/ r6 K5 d: F0 q* I
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?& A# j3 T) W# k
3 v6 F4 t. y) M5 U5 Y执行
2 ]* w: p( s. {; ^0 R& o9 [) E
( C8 @& M/ Q% \0 @. x+ Z3 E7 jcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True1 `+ b7 L/ C% a+ }' W( W9 I
$ [( U/ e# a( x) H) ^最后需要重新启动iis7 S, b, J! n% X1 s7 q9 V( ^4 _& I
8 I1 e0 \$ }+ z2 |+ f+ c
6.如何解决HTTP500内部错误?( X3 |$ r' G2 ^, x
" D7 L; ~; q/ ^, g8 X, Y7 h
iis http500内部错误大部分原因
* S% G" e4 C/ U( Z1 V3 F: D* k2 B' b
主要是由于iwam账号的密码不同步造成的。4 c# |/ d" [* M1 W- }
9 y; B# k( n/ o, p( T
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
9 D2 |5 U6 G9 x E' N1 U2 d
8 U6 b7 ?9 a: l1 j$ D( [4 J4 {" a执行
- `0 I `1 C$ e+ B \5 @; |* n( Y, ?' L; d0 G) a' O8 _" @ \4 Y' k
cscript c:\inetpub\adminscripts\synciwam.vbs -v. U" W2 z7 e% P, K& G
. M- K% a2 {9 w0 L
7.如何增强iis防御SYN Flood的能力?9 c6 w5 k4 A0 M% f+ D$ s
* [, r* w6 i) o) n I2 j9 WWindows Registry Editor Version 5.00
, w. S- K2 Q9 D
' g. N0 {0 N# N# E2 V0 K9 ?[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
7 s! h( b# [$ V/ i
$ I( k2 C0 U7 L* B启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
/ s5 i' B) k; V7 W, S4 L: C' V8 V7 [5 K1 E& y& l; N) @8 W
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值- D$ M6 L' O0 M9 G5 o4 ?% Z
9 d8 i1 d" F4 N3 n0 ?+ ~
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。8 a1 ]) T% F0 f2 ~2 h, `
J7 x8 ^0 u2 H. y6 \2 c a
"SynAttackProtect"=dword:00000002( D1 _# n1 q% v1 j6 l% t) ]* d
# \1 Q! V6 y0 f F& n0 N/ ^; u: ^9 m) B) L同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
. k/ ^6 B& B" Y- q* T0 M& F' ~4 |8 g1 m/ c& _ a' ~8 v) Y+ g* B
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
+ S/ E. h8 t4 u, M; e7 J
$ [+ n7 A9 J9 [5 R6 b"TcpMaxHalfOpen"=dword:00000064% y" u1 J; P4 D0 C$ U
0 z; S" W" @* [! c( g
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。4 v; K. t0 H5 W p, f" g
- s v0 V& E7 n) Z& O) H
"TcpMaxHalfOpenRetried"=dword:000000504 u8 j9 J' H6 s! X9 F6 A
+ M7 d6 Z, c$ r4 M! g9 M/ j& i设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。$ w6 Z& E. S0 S8 h
* B0 O. u9 ~/ @
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
8 O6 e3 V7 F1 y+ O0 ]! H2 B' T! [) U" D. k% ?
微软站点安全推荐为2。
& E i' F+ N8 e$ e) D3 v$ s1 l( g9 n
"TcpMaxConnectResponseRetransmissions"=dword:000000012 o; y6 w3 C0 J. D9 S
2 d+ G7 l$ Q: Y
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。! ^$ m% ~- E, m% c. B7 `2 [, ~, h
% a. A& B' L0 d4 o8 e) c
"TcpMaxDataRetransmissions"=dword:00000003$ U9 R& ^! o$ \/ C8 D
' `/ Q& U$ \& Q% Y
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。/ g+ j3 Y# v& T7 e2 U M# o
( ?( _5 p4 e' E) g
"TCPMaxPortsExhausted"=dword:00000005: R- Y" Y1 m) v. V5 p. ^
/ p: Q" \; I6 x4 w1 t
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
1 m0 N% `' o& l' K. w) a9 b: x# X- l! H2 |: ~6 }- A, P& p& |
源路由包,微软站点安全推荐为2。& {0 {. P. ?( H. u' g
8 m& ~: D* y7 E- N% o"DisableIPSourceRouting"=dword:0000002
4 U5 m! I& C9 m4 D( Z
7 V0 S1 A2 t2 m x2 ]( z限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
( q* Y, z6 @' h% T; z% O
! V e( m, ^4 K! r"TcpTimedWaitDelay"=dword:0000001e
4 V8 u$ o* ~9 s/ y
( k. u2 h/ b& K, W2 Q, p/ u8.如何避免*mdb文件被下载?
. z3 K; T2 H$ |+ x1 B* n: q, g' n, m" r* P3 x' C: @ F# A" X
安装ms发布的urlscan工具,可以从根本上解决这个问题。
1 O, i5 i2 y6 n" x. E" f/ E# f7 _, F. l; b; Z% u5 @3 Z
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。0 m$ s) u2 Q. x. b- U) S/ J
$ Q' B( l. f: Y6 c
9.如何让iis的最小ntfs权限运行?2 b: b" A- D. |0 P1 Z! H
0 P& F k. f3 Y
依次做下面的工作:
9 C$ f4 P9 y& h; X0 B# P7 ?! m5 r
a.选取整个硬盘:
$ ]7 V1 n, O8 \/ m9 \0 u* @0 D1 q4 }/ f7 I& T6 G
ystem:完全控制5 t8 f# ?* N# R" k
+ Q% _1 z3 z% E/ Z7 O2 ?9 ^administrator:完全控制; q5 _$ C& z! R* S5 a
' r4 h9 {* t8 A$ f; Q' j
(允许将来自父系的可继承性权限传播给对象)" x6 B( T9 l& u9 \- t
8 Z8 B7 ~" n; ^+ w, f1 v: A
.\program files\common files:
) |) Y( l* Z- V+ W. g, ^! K/ Z* E
0 h1 n1 I, l+ m6 @8 v9 ?5 U/ ]: u6 c$ jeveryone:读取及运行# C7 Y2 [5 o/ b6 i F! G3 D9 Q
* u e0 E9 q% e
列出文件目录) W# w% t/ u5 y, S& N9 t
9 }: ]1 T- g0 _: ~- A读取& S9 _. g' F. S
, m0 |: p: ?' X/ U/ }* |5 Y(允许将来自父系的可继承性权限传播给对象)" u4 _" H/ p) U% X% ~
- a7 Y; g4 ?1 m$ U2 C/ g
c.\inetpub\wwwroot:
! i+ J! r, g: k% ]( u- [* n
/ L1 r) K1 J- U) niusr_machine:读取及运行; ~3 M L# p" S/ v
) m. _1 W- e" ^$ a. K8 ]7 H* k. [. d列出文件目录0 i. C" f% G" I X( R$ G
6 e% c& v( b+ ~读取5 V2 J& t/ I" W; W$ `9 V
4 Y3 U* ]1 [ d5 I7 R(允许将来自父系的可继承性权限传播给对象)
; o# o6 b* ~0 A# `& I
% k7 Q3 `7 V& Z9 K7 Z8 Ze.\winnt\system32:% o' s/ M) g2 ?. ^& y
& D8 l* e6 l9 f3 r# v选择除inetsrv和centsrv以外的所有目录,
! ?! ]8 b) i$ [$ B3 S! C, S% l$ j l1 a3 J# {- J! F& k
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' y8 I$ c* k8 y- _) }% N$ _; q* [/ _' `' c, y* X- u; r
f.\winnt:) j: G& \% t/ G( [
( @3 O. z1 Y8 ]2 }& }9 a# G
选择除了downloaded program files、help、iis temporary compressed files、
: i+ P0 d1 N( F$ p2 L6 N! j
1 S9 S: r& n- Foffline web pages、system32、tasks、temp、web以外的所有目录! D6 d, w2 |% W. Y' o& s
& y$ k/ A" _. o* M! m: K3 s去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 B' W% A1 x6 G2 S! J( f' V: x v+ T# y& q
g.\winnt:8 e0 t6 [7 U) ~+ a' V3 C
, k" J9 q- Q7 Peveryone:读取及运行, M) n& E0 h4 Q! z" k) M: R
5 I. \/ _7 _: |; X/ a4 U6 ?' V6 N列出文件目录
}4 W) U- P. \! j9 L, K% w; K- Q" K4 {. h; e
读取(允许将来自父系的可继承性权限传播给对象)
# Q4 B! j8 m" U: n
1 ~* V9 ]7 A2 C8 X: h) |h.\winnt\temp (允许访问数据库并显示在asp页面上)
: O% O2 n E( Y9 Q' ]1 W; p2 k6 c+ q/ m. d5 J9 z& f
everyone:修改
$ P# H* [0 d; }6 }) v- x# S9 _
p* l0 m5 |9 U# j! i L. S( z6 |$ O7 ~(允许将来自父系的可继承性权限传播给对象)- [4 w4 w, y7 y
' i: t: V Z/ e) ^( d6 M$ v- f10.如何隐藏iis版本? F& A! |7 i& ~. }- W7 h
8 a" D7 ?6 F0 C5 l/ O: |/ a一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息' P6 V3 T; }7 r! Q- {
9 Y, I5 v9 ?( m( o" j6 `
iis存放IIS BANNER的所对应的dll文件如下:+ v3 _& b# ]3 {- Z P4 K( S. Z, X
: L$ P o. K1 d7 B" qWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
* ?, _+ A7 U& h# e0 t8 @4 u" E# D6 R4 I
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL' w! L+ O7 [- p/ J4 A
+ @; G7 Z P) o N' r! wSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL) j8 s0 l( U/ U" w; H3 R: ?
% s5 T g/ c) ~% V; J3 Q
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
0 z* y0 X% q5 `3 H) W5 ?9 ^9 r1 R+ u- c; Z; z, {5 I2 x
具体过程如下:
8 H1 B8 ^- l. X5 B3 ~5 L/ H
" M8 v: Y- _# O7 Y1.停掉iis iisreset /stop
. z, v% `& T. J) G% u( w2 ?! s% n# q G9 [' {
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
) E& _* r' T9 @. [# B, s% F/ N5 [% _4 m! @" \9 ?
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡