|
|
1.如何让asp脚本以system权限运行?
% g- G$ Z& m H$ U- v
7 Y ~ t8 `7 }: r v* |修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
' W3 @$ d& X6 \: D' v% q) x; J$ K- U0 Z+ w0 {0 \
2.如何防止asp木马?) G [8 q. R) K2 {
7 w1 y' S# \1 w O4 V# ]. k( R基于FileSystemObject组件的asp木马
: b x6 W) g2 A" n, F
/ u9 g$ z6 {$ b6 K) I7 Dcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用+ i8 N7 f; B( h& w9 h
, \$ N. k4 I/ p- h' G3 {: m8 ?
regsvr32 scrrun.dll /u /s //删除
/ @* D" D0 Q _+ Y: N8 U
, I K" n+ V3 o1 L基于shell.application组件的asp木马
' m, d# Q4 d/ ~4 a/ n# r( f
2 V6 q, [; w# _: k* C6 ^0 {' Ccacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
/ g- {1 {8 I' s9 P7 W- h
3 @6 E3 A- [. M" cregsvr32 shell32.dll /u /s //删除& j. `) H3 n) a- o4 G/ n, E6 I
x7 o$ m+ K) L* B3 J/ i3.如何加密asp文件?. W- c" [9 k& f+ D
3 W: T4 |6 N2 ?' @' W
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。, z+ }6 E$ R8 _! t1 O4 t
& M' R; g9 w* c3 d
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
) s/ Y$ @+ ]% A: O: r2 E; {6 l! s5 @# Z
运行screnc - l vbscript source.asp destination.asp
N) d- w3 C9 q& h3 C* I9 o1 ]" C7 C$ \, S
生成包含密文ASP脚本的新文件destination.asp
$ A+ E& g9 }% J, H& S. {) _% i* @: g9 i/ ?
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了- L& g( ]& ^* ~ z
! n5 G3 ]) Y; c5 W9 U8 I6 P4 Z但无法加密中文。9 W, P2 O) R: J
, y) S" |4 Y3 v* [. M9 }5 f
4.如何从IISLockdown中提取urlscan?( M! i4 W' t- ~/ {- U
8 F2 a+ ~7 Q. W; n$ R* ?% oiislockd.exe /q /c /t:c:\urlscan3 t% W% y* e4 k3 S( M. p9 H. {
) k; b- O% P- a2 }5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
2 Y0 k& G j8 G$ {3 S/ T/ |* x) N% {# q5 M$ H3 A5 L- d8 S2 s
执行
; @; g* r% ~% j- |+ F5 Z3 M6 K, o) X p* A; s& a+ C, C
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True0 Z: v+ I$ o* f! y
/ n7 [: u& ~- Y7 M( W最后需要重新启动iis# ]3 W1 f q2 c# H4 E* O2 }1 X
% V! G$ ^8 z, \3 W6 e
6.如何解决HTTP500内部错误?
( z, m8 B2 J8 K- L4 o3 Z8 V+ N/ K7 |* a! N! Z
iis http500内部错误大部分原因- m" h# z: A' Q& Y6 R# ^
& e& s1 q% K0 i5 S主要是由于iwam账号的密码不同步造成的。
: ?! a) v4 ~1 C4 j5 Y5 i0 c- x3 s8 }( [0 P# x. y Z$ S) a
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
8 X* v5 P7 X, Z9 X
% j$ L4 g* A, @' C% x执行2 D8 s' ?2 j1 D0 F- o
& l# |& s1 y% D
cscript c:\inetpub\adminscripts\synciwam.vbs -v/ }) Q/ L {; O% z" q7 c
" j7 a6 f/ _. H: ?+ o, r) |5 _6 ]7.如何增强iis防御SYN Flood的能力?
5 C9 ?3 }( ]6 q1 @$ u7 x; `/ @& |0 u$ f+ o% ^2 E ]" Q
Windows Registry Editor Version 5.00, b! c, W/ [* q5 f/ e. Y5 Y
/ M+ \- X9 X+ B! [ o
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
" j7 g9 z# {/ ~' i3 ]' x6 [
. }2 H9 m4 H3 Q" ^- g- W8 j启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
* m+ q& p5 p0 W, O: P
* s% E$ ]" F4 Y7 b! k% H; m9 c8 {安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值, J5 u. V" C1 z6 G' K
0 C. R6 f/ b! Y8 A, v) H t7 j2 x设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。, Q. A* l. q* M# t0 k/ \5 K' R
- U1 t N+ x1 U z5 j
"SynAttackProtect"=dword:00000002
I: ^9 R3 `; v* g1 Q2 R# r& W' f3 J. D7 V
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
/ ^1 s! r* K; p, F: J4 e
}9 R% W; S* [) V的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
0 x; y- S- H, `. Q+ R. A5 v2 ?
$ P6 Y, a& a% G& E* q- E"TcpMaxHalfOpen"=dword:00000064
, O7 c% q/ n3 e# j- r5 I) a0 a
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。: t; u; P: u3 V4 g8 `
; z! b' g$ `" i) ]( n' W& C"TcpMaxHalfOpenRetried"=dword:00000050
* w5 v; v! d' P9 v( i: D& E$ c1 l7 b. [6 v6 s# s# A& `, R( V
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
. V6 J) c# ^8 W9 q# j/ I& }: W( P) R: R
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。8 Q4 g$ e: L5 }
. {) O3 o+ c* r5 G2 N2 t
微软站点安全推荐为2。
+ b+ \9 D& c, m& R( ]* |+ z) p' z8 Y. H% f$ a+ x4 ?% Y' J
"TcpMaxConnectResponseRetransmissions"=dword:000000016 V% p) b3 G& {8 x$ C
8 ?% Y7 I& j& u' q0 E设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
; S7 l; q! o1 N4 S+ }9 D0 `6 A+ S$ |( _0 W; j) f+ E W
"TcpMaxDataRetransmissions"=dword:00000003$ `# {+ m2 C3 D3 k
0 I/ P5 g# M' S& j设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。! W6 `! Z- u( L8 w0 h
, o2 {% v0 u- n6 W9 J
"TCPMaxPortsExhausted"=dword:000000052 c% `5 O& S5 T: J
" z$ y3 a" O# `/ l
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
* y0 w t- n) l8 L2 g- j# j( \/ g. }9 ^7 i: c0 Y
源路由包,微软站点安全推荐为2。' ~4 [$ D' a/ V {2 N8 B/ d& ^
, v& ]& @+ M+ U; C
"DisableIPSourceRouting"=dword:00000028 V o8 u, f& P0 _$ W" |
! K8 I7 j. ]2 S' g8 r
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
" e+ h! z" y! D- `8 L$ _3 n& {: s! y+ H9 m" b( P& n
"TcpTimedWaitDelay"=dword:0000001e: T! V# ]% d1 p# o% D. E
* Q8 s% c3 V$ {% S6 L
8.如何避免*mdb文件被下载?
6 l+ p% f; }; h, O1 T
' S) n3 @0 j2 y$ |安装ms发布的urlscan工具,可以从根本上解决这个问题。
3 s1 w7 N( a/ d; H3 ?0 `/ A$ E% e/ U |7 C* U* I
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
& @+ L% j, N5 f" @' K
5 b5 o$ A$ i( y! x3 U9.如何让iis的最小ntfs权限运行?9 Y9 ]$ @( C: o5 I) P
' U8 W* e# C4 ?) M' a$ A& f
依次做下面的工作:) P3 Q: _! V8 P' e
: Y' ^0 O8 p+ R% q% ]0 T" L# `$ E
a.选取整个硬盘:7 f. _1 p5 }4 H6 b- u
; k2 u! w3 a" V, B; J
ystem:完全控制
* F: c7 ]1 z" b: H% f
6 F( P7 G2 n9 v6 E% x, wadministrator:完全控制5 P3 B# } `" S, y- | G% F
/ T8 o' z) a# v9 a$ f(允许将来自父系的可继承性权限传播给对象)
2 [! }" R3 X% H0 ~/ w- {1 v) O
^' {$ O, W: N: E.\program files\common files:$ C0 B; n1 x# E2 i- G
0 H. d5 }/ A; M/ Jeveryone:读取及运行. J. A) P0 T3 N
7 ?1 W7 g8 ^8 T
列出文件目录# g b% k* z% S3 B+ i; a1 y6 }0 d! z
" J8 H) u! ~% z4 `
读取3 k6 \9 [- C; x
. }1 R3 B( x) g; v* X, U(允许将来自父系的可继承性权限传播给对象)( h% M; V3 F G, {* v
5 @/ [. X* a9 ]8 q; q$ }) i; }c.\inetpub\wwwroot:
& U1 G" j6 W' \$ b# z7 e( W+ j- V; N2 g9 T" @' x$ y
iusr_machine:读取及运行/ v; c6 h/ b! A4 _. r$ m0 ?
$ E1 {# u$ S' G. Q" }/ V; v
列出文件目录4 V1 N J3 B1 O& N! v" |( b
2 m% t: s3 y! M8 m8 P$ P! W
读取
- C3 W1 h$ V( C2 n. X" s1 W8 u8 L. }
9 z% I/ C: K8 w( r6 Q+ x(允许将来自父系的可继承性权限传播给对象)
' N. d( q% o" O
. U6 c6 n( u0 S2 ^e.\winnt\system32:, {8 ?: M' @0 d4 ]* o
5 y7 t+ s. h8 L0 U/ N) V& D选择除inetsrv和centsrv以外的所有目录, E- V+ {) i9 p9 p
' b* f9 `: V: s/ _! B, N$ Q' X去除“允许将来自父系的可继承性权限传播给对象”选框,复制。. E0 s |9 v6 V4 J* U
) F* [2 J# A, I& a: p7 |9 G' @) v
f.\winnt:: P& b# ~+ `) p5 e) I
- v) g6 R1 R) [( o5 a: L; E6 p+ c选择除了downloaded program files、help、iis temporary compressed files、
. u# W* a8 R' z& D9 d! x( W
6 k2 I& |! _$ u% l, O5 noffline web pages、system32、tasks、temp、web以外的所有目录
1 P* ^; R& [5 ] h( [7 k1 m7 n, B& D3 z# J& l( E1 L
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。: | O; `& y) v
) F9 d9 s0 ]0 H2 |3 j0 w. W# w) X2 |1 Lg.\winnt:1 {% `9 Y% X; D6 L) [- Q3 d
6 n0 n$ A+ ~( |7 r! k
everyone:读取及运行
! r* \) r3 }: P& T( y
~/ E. i% t' r- ~; H& b) z ?列出文件目录
, }' Z* f) x5 P
. d0 o/ b# A5 r0 ^4 Q i读取(允许将来自父系的可继承性权限传播给对象)) O, c, l6 I* w4 y
$ }! `3 @9 @2 U: h/ c! Z
h.\winnt\temp (允许访问数据库并显示在asp页面上)1 J6 j: _6 L$ c9 f; c6 u2 ?3 u& D
5 X0 }# x( n; W) T- }8 A# c$ t
everyone:修改6 V% }; i/ _ s# b3 A+ K5 w; j
0 f u1 o% ^, T' |; e* b
(允许将来自父系的可继承性权限传播给对象). F" N2 s& l7 X& c& |$ A) |
- A1 ?( S' p" B. \4 h
10.如何隐藏iis版本?$ d: B/ S6 T+ ~5 t( u7 ~
; Y# r {) z$ n( d
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
# h7 ^1 m0 Z8 G! C2 s8 C" w8 ]) J. W/ k6 U
iis存放IIS BANNER的所对应的dll文件如下:' j7 N; {. D& V' }6 Y- @$ c7 o* ~5 P B
" j4 `1 r! J1 p: q5 SWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
, j0 s- a9 j4 ~: e$ y
# R- @2 G4 @, x- dFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL- d6 {7 |8 \) M+ o2 c8 r; B
' }# Z8 X) }8 f I% H! FSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
7 V# i3 I6 O z' y7 L
' _% }+ O' d% ^: ?1 a% @你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.01 p+ {* e. d; K( i. p& G
/ L: E; y* r1 _$ n. S2 i5 T
具体过程如下:4 n z, D! \9 l" s. }
5 P1 n5 G5 Z& a: k$ U: ^/ u' K
1.停掉iis iisreset /stop6 b) x/ j j' N* u& Z
6 K8 J# A# y2 G- D2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
7 L9 G' X: ^4 `) H* p/ B2 w2 _/ l
9 y1 n% _4 ~6 X4 Y, ?3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡