|
|
1.如何让asp脚本以system权限运行?0 K* @5 a: L @5 T" b% l# D/ |
! M! d: {2 \$ [1 E3 j$ O X4 U修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
^7 P- d& |0 `' g
" f7 y" d, ^0 \- R7 v2 |2.如何防止asp木马?. A" v# n) @% C$ i: Z- |4 l5 K
/ _6 M5 D( ^: h6 w, a
基于FileSystemObject组件的asp木马% V V7 P4 ^# L& P
0 b+ \/ s& Y# J: n: R( r# fcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
! k N6 r9 e7 H4 J) a+ M+ {3 J, W. d% f
regsvr32 scrrun.dll /u /s //删除+ z& ~* u! q" ?; y( E
" c0 }2 T% A) o$ H7 j4 J% Y6 h基于shell.application组件的asp木马
0 A9 V: z$ s1 S7 u0 ?3 D ~! B% D* e
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
8 ?7 }: ]( G" u# h- W- N
) B; a0 h9 G: u4 |8 q/ b* Uregsvr32 shell32.dll /u /s //删除
: o+ y0 l6 n4 W h2 H+ a. C5 l3 z& E C6 Z- t2 t: ^
3.如何加密asp文件?
8 h' A( X8 J2 s; t! ~1 Y* E- d6 F: ~9 i- `3 V+ g( g& L
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。: `; }2 I4 ]+ S" @& H
) m4 y3 K7 _ @! R% w4 L安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。( _3 g K4 \+ f0 w' N% X
) c$ j3 r1 N: ^: o4 Q, L0 A运行screnc - l vbscript source.asp destination.asp
8 `: z9 i. n. W6 K/ q
4 i/ [2 e: s' H3 G3 j7 l$ |2 n生成包含密文ASP脚本的新文件destination.asp$ \" f( E5 U( \
9 Q/ T% q: u2 [! _用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了$ B# M: v% [& @; ^4 l
& H/ d$ C2 a; o% r% K, w$ P0 w但无法加密中文。
* G7 a/ m7 B4 o- F, k4 B+ r/ x8 l2 q& W9 |' |
4.如何从IISLockdown中提取urlscan?; ~ t: o8 j. ^5 q
4 Z4 }" r/ a' P7 b6 m
iislockd.exe /q /c /t:c:\urlscan' V# t9 \0 C- r) K" R1 ]
8 ~/ E3 U# V: Z4 @& w* n
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址? q! \- r0 l" W; ?8 r
/ f! {& @0 y- v$ }4 J& R9 s: C+ b
执行
/ Y% I4 L2 J0 B& D3 u( R S
- t7 R$ W5 x4 kcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
6 L" _' S$ k% N2 }; s1 Q+ J$ L* t0 l1 }
最后需要重新启动iis
; K W/ U3 q3 A; f
z3 L# w' @) [5 k2 ]' x* _6.如何解决HTTP500内部错误?7 T+ a) G: _: h
$ G3 V/ @ V8 ~
iis http500内部错误大部分原因% h- X3 U; q* k. L0 W9 `) C
, `3 I0 v4 r6 W2 p8 ~主要是由于iwam账号的密码不同步造成的。
) c/ M: a) _% L: N1 I
' }5 |; `( ^) k1 T7 p我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。" S$ Q# B8 h' W% f# Y; r5 a
. U0 G6 g7 Z0 t- |4 y
执行
$ ]! I; t$ }1 G5 O$ R* f0 c1 [" \5 n$ F! f0 b4 O7 d7 o
cscript c:\inetpub\adminscripts\synciwam.vbs -v6 v9 ^2 l X+ u i
% f5 V d' I5 Z! S" z* W5 U/ O& w7.如何增强iis防御SYN Flood的能力?, x) ~/ ?- f% V& P$ a" U) I8 c! @: X
; S% q ]5 R% }) p9 `3 x6 s9 l
Windows Registry Editor Version 5.00
; [: W. k) e7 n; \
0 a% n$ v7 C. U& v! O[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
. b" I' U7 Z+ N; q2 ]) _; B
: e4 h0 i" M$ e: m: r* J启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后: o ^6 I6 g; `0 i b" V8 K
6 {9 @' U* b" a: ^" L, ]
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值% L5 N1 U4 I; C1 X7 A. @9 G
9 _, ^ S5 a& J* H5 ] N设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。# Y/ L0 T8 J6 ], ~/ |; Q
8 ~: A1 U) h* u" Y' T# q
"SynAttackProtect"=dword:00000002. o8 d3 r- X$ R, ~2 P7 o7 ^
7 w* J$ F* ~) O: L- q' ~% ], W同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
5 ?4 g5 N6 k+ G7 |* T2 M+ P% s' e, M( i3 N! o$ t3 f
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。: F' R, I! j$ z; d9 D. b4 P1 X
, \, M. U& ~! I0 g8 }* r& j"TcpMaxHalfOpen"=dword:00000064/ J7 h( b5 q4 \# A
- i2 r) n3 Z; j! B9 v判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。. o1 v% ?) ^9 X9 d
2 b8 h( G; T) G- m+ ^, h"TcpMaxHalfOpenRetried"=dword:00000050
; u7 [# T4 C3 w
2 y! s8 i G! |设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( k) y9 _9 S3 Q& D9 n. g H4 c
+ \( T) M# u. h, t4 Y' ]" t" {项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。( I5 V- J5 {- a8 E" m+ N& I
^$ `! H# ~- I& c微软站点安全推荐为2。8 F) b! b) e6 [
g4 M( I' v+ u7 v3 f5 R
"TcpMaxConnectResponseRetransmissions"=dword:00000001" R# l0 f0 a) c: U D
! L/ ~: s# h" a
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。, j3 f5 F% C, p
9 O0 s% n, w2 W3 N2 m- G6 M) a"TcpMaxDataRetransmissions"=dword:00000003
! M7 o( [3 o+ _2 y2 z+ ]% O- w2 i3 M2 l$ s, B$ C
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
/ Y; Y _! ^3 R/ {1 ]- l4 T) d" Z# c+ w1 z
"TCPMaxPortsExhausted"=dword:00000005+ U% v- Y* o5 v# X* \7 s
3 I1 _* `. y9 |4 R; ?, d* {禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
5 p: h% s/ c& D1 C2 R
! a. R9 `, F2 A4 m! @' Q7 {6 l源路由包,微软站点安全推荐为2。5 l T) q/ y4 Y' c/ D% H( W8 d
" G! I- Y1 H3 i! {"DisableIPSourceRouting"=dword:00000025 b- U5 Y! ^5 D# d6 @3 P
% G7 k3 E M+ d/ F0 D! h: C
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。, [7 n$ Z. a/ B- z8 {( Y
+ H; @9 v+ U6 F" n* K. f
"TcpTimedWaitDelay"=dword:0000001e# V3 u1 U R# q' ~( a
* ^+ [4 y7 C2 }$ m0 _0 ]8.如何避免*mdb文件被下载?7 d* f. X. \- C
, U' E) E# `- |9 z! K& f, [安装ms发布的urlscan工具,可以从根本上解决这个问题。
{! d& G i9 ]7 m% u2 I4 o7 r' W+ J3 t# {
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
6 v% C- [- l" I, X1 }
2 t2 z) h4 Z6 n& R l4 C9.如何让iis的最小ntfs权限运行?4 U; N' p0 K6 I# v3 S
( d! Q$ [- }9 T3 v" }' a
依次做下面的工作:; k2 E2 B2 ~) U u3 T
: I3 H2 a0 l+ s5 v1 z8 X. ?8 y. }$ J' ya.选取整个硬盘:
5 w5 o2 S" P) [% i
# V7 b$ {4 _/ ~- \1 {ystem:完全控制
3 g A8 k) x5 B/ K1 }0 z2 o* {
' I2 r8 ^0 S& {. Tadministrator:完全控制; F3 M* K- `/ [- d5 q* ]) X
" z; N1 t6 K ^# D
(允许将来自父系的可继承性权限传播给对象)
8 B- k+ i) S- p# s! `9 ^4 q! M- G6 r
.\program files\common files:
" Y7 D$ S! V5 {9 \& x, h+ }
# u8 d, V8 B( T# Y5 G' G/ p3 ^9 j) \everyone:读取及运行
+ l6 ]' x6 `( X8 _7 c$ b/ O) b! x2 y' Z+ B, h' K+ _) V6 c
列出文件目录" @1 P5 J+ ~1 u+ S+ u, S' |2 p
& i. s9 z q/ {7 m
读取" r& J$ K. X, I2 X) v2 p
. V$ O( t' l. o4 _(允许将来自父系的可继承性权限传播给对象)5 i; Q: \5 B( y8 A+ x; z% Z+ V
# }0 H- k- c& r# |: Q/ A; Dc.\inetpub\wwwroot:! V, ?! B2 q( y) N& [
* Y3 a, A/ S# S( m9 Hiusr_machine:读取及运行
2 v0 _& L' l$ }7 A* l
7 q+ B7 `# w0 B! v5 Q% Y列出文件目录
; a X3 r: r9 a. P- |! @2 ~8 x+ t5 B d _5 @" p7 K4 J8 T
读取
4 ^2 V) Q5 l' N+ ^$ `; S( O5 {; t; p" C/ H U6 e
(允许将来自父系的可继承性权限传播给对象)/ a3 F5 g) Q3 _, D) j, R/ j
- t7 _* H, d4 o
e.\winnt\system32:2 T" E: U4 x; j: j* x; e3 J& o6 G
6 F* `. _, ~% a L2 c选择除inetsrv和centsrv以外的所有目录,' z. v. U) f) O: V
+ w A o j4 B: i
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 Z. G% |; m. `4 ~
; Y3 D, X1 X! C5 b% w+ U+ P2 {) n5 Tf.\winnt:
$ Z& w, j% R3 `7 O. N* W$ c* [" C& Z
' U4 U9 z" X+ p选择除了downloaded program files、help、iis temporary compressed files、
/ Y* o8 t3 H- N8 M5 U0 N# ] z( ~& D3 o* e7 y7 Q) l
offline web pages、system32、tasks、temp、web以外的所有目录5 I. F2 r# ^1 K4 ~; ^' M8 m. ]3 ~/ W
: ?: \: q& [# S3 ?
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。1 R" a8 X* Y, ?0 r8 G3 |* r
) A) Z& w/ h7 u/ F8 C1 p; V+ Ig.\winnt:
; k1 Y9 ]+ c X! s# M) t, @$ `8 e9 Y
everyone:读取及运行! U9 ^9 x# K. `4 r1 u! U
$ d5 M; R+ I3 M# @" ]( Z6 E7 F3 w
列出文件目录
& s# l: H9 l7 I
% P* h9 w5 A; Y, ]5 z9 u/ Q读取(允许将来自父系的可继承性权限传播给对象)
' m. ]1 {8 T! y q% s+ e* }
* E: U" [6 c3 G c; A% @" S0 ^h.\winnt\temp (允许访问数据库并显示在asp页面上)
, i6 V* \. m/ R) N. h' Z6 }+ V/ A7 `6 V# R# f
everyone:修改) w$ L7 r( a3 u4 b0 z
* n" b" b2 S6 O8 d7 _% x(允许将来自父系的可继承性权限传播给对象)% X( F" A) ?, f3 _2 |; K5 {# M
: j' [1 Q1 G6 `3 S& U; H8 N
10.如何隐藏iis版本?* D: ?; E- N& u1 @
! z9 x: s0 P1 u2 e" Q' N) r( @1 y; ^
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
K- h7 }8 [6 l; C: A, Q4 n% Z1 n! k% P7 W; `+ e/ ^
iis存放IIS BANNER的所对应的dll文件如下:$ H% {" D% |) X# _6 Y3 u
6 `5 h% D' L- u( TWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL4 n n) i: q8 k1 Q8 h" C5 M( o2 T
# ~8 l Q7 r2 K( C9 K
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL. M4 c/ e: G% T
& \# Y' `- U9 m8 q" K3 F4 K. i
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL! i- [7 l D r! b3 s r
n+ Q) q3 f* b y# f8 U
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
* F, ]( j T3 F5 c# @: a% Q6 S. n+ v& ^+ V. g9 h) j- N0 n$ X
具体过程如下:
0 E* u1 ?4 V3 {, \
# Z x5 G/ {' ]2 h8 ~1.停掉iis iisreset /stop
& g. t8 e; M: u7 S0 z, Z2 B2 p9 d+ l( Z
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
1 H' k' X6 D7 {7 d! c' J4 V' b7 M$ w- `! f
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡