|
|
1.如何让asp脚本以system权限运行?
& {+ @" G) S( M
" |: C0 z: {) j1 ]( W8 O修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
5 J9 e& y0 }; B3 F) z! c7 z: n' d5 u0 x( F1 n
2.如何防止asp木马?6 I" @- A8 M$ j/ @6 ~
, v* f/ W$ b% m& ^基于FileSystemObject组件的asp木马
% _$ q% m' O3 Z: g/ M. g9 `& }
9 O+ {) @0 _: S/ ]1 I: S2 Ucacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
/ C+ Z2 U% Z2 Q
7 J `& \* O9 d N9 i% y5 aregsvr32 scrrun.dll /u /s //删除
0 s( e4 \& `& b: R! K( P* s: z* `
J' [! K8 n3 ?' y; Z* @9 W基于shell.application组件的asp木马
% j8 W. \. _" l! C, ~! V$ q* a8 y- ~: E) l) r( y+ z
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用9 O/ l7 C7 H2 t
+ Z2 K+ S% O) ~
regsvr32 shell32.dll /u /s //删除
; c5 Y- ^; E& `) |; [7 a9 K+ |
3.如何加密asp文件?' M% q8 _; D, H- b7 v( W3 I# E' A- K
0 d- `6 y/ b3 C7 o5 m/ c
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
! o' Q g5 r7 X4 Q( u7 D; Z2 u8 h+ c3 p, f$ T4 r+ ?
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。2 P- \4 j8 g X$ S" f
! D, b; S8 v. o$ X7 K运行screnc - l vbscript source.asp destination.asp% a& ^ g( a) ]
8 G$ t' P5 p+ m. k* N6 y d生成包含密文ASP脚本的新文件destination.asp9 Z! V: G- z' _# m! k& C. U" h
; l6 j/ W. n. Q# L0 o用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了4 N3 O) h" _/ U6 x- a5 d
/ \& q) W8 D* B# J$ W
但无法加密中文。
) m) J( b' |% F+ e, C& D$ z T) [" V0 X6 \ F7 d
4.如何从IISLockdown中提取urlscan?0 \6 q7 u# ^5 V2 C/ ?0 Z: E, b
# K7 W* X$ m8 F$ ?$ |
iislockd.exe /q /c /t:c:\urlscan4 S7 K5 x0 X7 c' K1 E2 O
0 ?* f+ L. i+ O" o* R- i% g/ r5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
/ E; t/ Q) s. l: f
. T- A9 Y# I4 z( k% h% y执行& g( z+ A; a, @
; m, D, O v2 @
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True2 O* S# ], I5 y4 N" P
: x+ I. l. h5 s4 d% d/ i最后需要重新启动iis ?+ r$ I' `# D+ J+ G4 h8 t& I
; V9 E! D7 |( o# S8 O8 m3 f" P6.如何解决HTTP500内部错误?
) T5 x3 o# ^/ v. M- ]3 c6 l
: V- g3 P a4 kiis http500内部错误大部分原因
# P: _. h0 k) [) A5 j
$ t# y+ A+ W. m主要是由于iwam账号的密码不同步造成的。$ w' N( x0 V- A# L( p' X
9 {1 J: M' _. U* D. k5 Z( a
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
4 _! l s% k) S8 d; a) q
0 Q+ V) j) e+ c& O2 e# C执行
* B% F% X9 {$ p0 Q! u+ n9 u& U9 v) F
cscript c:\inetpub\adminscripts\synciwam.vbs -v- A0 h2 P3 B% }, y
- Q, U- L' l1 _6 h: v7.如何增强iis防御SYN Flood的能力?
, p1 D$ d! g* d- @, s/ A$ O! w2 H1 O7 Y/ G( {
Windows Registry Editor Version 5.00. j9 U9 S) V4 P
8 K" g1 |& ?7 z- I5 w3 Q, c
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]& S* {% s# L3 o5 t3 r: i1 @
. P1 n+ Z1 n. j( E% V' _
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
* I3 z" J7 i/ [
0 Y8 e$ a6 j, X7 S" z安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值1 ]% w4 r3 o$ R8 W7 N2 X
: p5 L, O( }1 m: d" q$ s( k, R
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。( C# D! C3 {6 Y( ^$ C
; _5 Z$ B, T# r, F! i r/ N$ g) V" I"SynAttackProtect"=dword:00000002
. x! T7 b2 H3 ?0 p
6 ~( o t6 Y) a. Y" {! L同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
& n3 x9 u$ @+ w. C8 ^2 O
8 B5 X" [% t% u3 I的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。" E# I& H; S! u$ t [
% y/ e1 W% ?; `' Q( R3 D"TcpMaxHalfOpen"=dword:00000064; L8 t) V' |8 K. H( ^# R
) W( M" \) \( w; q, C. X3 s+ U判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。# P% Z$ Q9 U( s( R: z# F
1 F' F2 Z/ ]* o) k. P" i
"TcpMaxHalfOpenRetried"=dword:00000050
, X8 A; _& f; @( w% ~8 M e
5 @' R4 w/ B* z* q( J: a$ l0 @设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。; Z2 _3 M6 C! x
* I) p! B# u. ]8 I9 P" ^5 E项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。( ~, j. R" M; g5 `
# I# \* L% z1 S. m
微软站点安全推荐为2。
/ }4 I! i# N1 }+ X
, {' k f1 E2 Q"TcpMaxConnectResponseRetransmissions"=dword:00000001
) o/ k+ F0 Z- S! h+ j
8 [3 p% j; p7 v, ~" ?5 x设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
) C) v E0 m, k' T+ }! p6 Q4 }. c d$ [( c& _7 ?! p# D, H
"TcpMaxDataRetransmissions"=dword:00000003
$ s& S; U, I& K* W1 ?: c; z) ~& ?6 r: E' ^( E* U2 l* P
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
\% D5 ^" }, W# U& u- h; [. u+ d# T9 a5 Y# T% t
"TCPMaxPortsExhausted"=dword:00000005; O$ ~$ j% o4 W1 r! Q, F1 `
) Q6 X1 c+ Z$ I8 g4 {. N* d B6 `禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
& N. t6 ], b2 l
/ f N7 U! @' h源路由包,微软站点安全推荐为2。# A% a9 h/ C" h3 Q2 f2 t# X. _
/ o0 ]+ f, I O7 ]5 W7 u+ W3 G& ]
"DisableIPSourceRouting"=dword:0000002
$ ]8 _/ V8 P7 h/ ]4 M3 h- R: J: D, W" |: y% \& y
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。: V: E4 l* g: V5 W& P9 R
! r" `7 s' I1 Q, J* q, x9 Y
"TcpTimedWaitDelay"=dword:0000001e
# j$ h' Z0 O1 V0 K; K: K
* V, p2 m8 I% l5 ~% b8.如何避免*mdb文件被下载?
$ { F' W5 U- ^9 b8 O% U2 O/ k2 S. R( _' E) s) F3 C4 ^. i
安装ms发布的urlscan工具,可以从根本上解决这个问题。: y, D2 A7 T U0 G& X
. j2 e7 ^7 V" B0 I8 v5 O0 m" |) v同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。8 _ Z K8 n, E3 C T( h; b. j
' A1 g1 x# _- R0 F+ `/ g5 P K! L. x& ?
9.如何让iis的最小ntfs权限运行?; F9 ~; J- |, t; ?
5 i% b, l9 A: n5 J8 _2 j
依次做下面的工作:/ y" U' V1 e/ |+ h- _% d, B
1 u7 j# w$ S1 S, F- V% A& [4 T" N. j
a.选取整个硬盘:' v3 J# ] N/ J
, `7 H9 D! Y4 Z8 V* U2 e
ystem:完全控制, v5 K3 @$ W; F0 v
! \0 a, V+ n7 t# Fadministrator:完全控制+ V. h$ {- S, w, Y" _7 U6 t1 f
4 T$ W( F( x* }
(允许将来自父系的可继承性权限传播给对象)5 G: c+ Y/ |" k3 R
$ B& T& ?9 p8 T+ s v/ r/ i/ h# ]
.\program files\common files:" n' D; g- s/ ~+ L" c4 v
# h; w( A% o% t1 r1 z
everyone:读取及运行* `. R9 s4 n. W2 h) i( @
) w, z- M9 E9 @/ }6 I- U. m
列出文件目录
0 s3 a4 ~% o! \
$ B0 Q& w0 z* ~. L# b$ m读取8 o" s7 a3 v3 @- `$ m& \
0 H/ P }$ u2 v) V(允许将来自父系的可继承性权限传播给对象)
% o- n1 p; [# z0 Z3 z5 h
) D. z% _) N; ?6 m' d0 Ec.\inetpub\wwwroot:3 G9 }8 X# \' r0 J. W2 i
& O) B: M' t. F4 G" j3 z2 G8 ]iusr_machine:读取及运行
/ l" D" \4 J1 T1 k" w0 F# x8 r
9 f6 B8 ~4 M/ h2 K% }" U7 h列出文件目录
' Y5 I" e8 H+ v! |! J* A2 E4 |9 E
读取5 C! v- Z' f- E( T0 J5 T/ D
% r/ u8 O- l' F7 D(允许将来自父系的可继承性权限传播给对象)3 Z* k2 G) A- }3 q3 n
7 N1 V/ O: w) ~. p9 re.\winnt\system32:8 e4 a& D8 O5 [. r' o1 z
6 W2 }$ i1 H# i0 V: `5 u! d
选择除inetsrv和centsrv以外的所有目录,2 D; H* z: p& P& A6 w6 C
" G7 o. ~# S8 M! f* m6 w
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- F: Y. V" j0 a2 T! _0 |; C4 Y
7 e) Z: \6 B0 V/ l% b8 `5 j
f.\winnt:( C, U# k( t) {- d+ l. z
7 }) ]- g, i: i( J( ~" {
选择除了downloaded program files、help、iis temporary compressed files、+ M8 C. Y. c9 t0 ~/ W+ z& ]
% y3 s* v- [6 k9 noffline web pages、system32、tasks、temp、web以外的所有目录
9 q6 `& d# W D; W# q) i7 p# |$ m- f8 p+ j9 q+ h% r* ]
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 h \5 m2 c( J1 L
( M9 |( u2 s. g+ K# xg.\winnt:2 ^7 s. Y% W5 H& L$ \" S8 U
. [2 C- |& s, }
everyone:读取及运行) d! m7 F- f) M# X7 E/ r
6 H6 [3 \4 `* P: O- C- D7 X1 ]列出文件目录3 o0 B' w4 h$ b8 W% z5 ]
5 y/ X8 R7 h2 A( l5 O- [
读取(允许将来自父系的可继承性权限传播给对象)
5 B) C* l+ {7 G5 R1 p5 F2 _! S7 ?2 K. m1 G" j) z. b! o$ G3 ^
h.\winnt\temp (允许访问数据库并显示在asp页面上)
7 J" L2 Y: t; }; f: ` n# q) |+ `- t6 I) D6 p5 b
everyone:修改$ b/ [( V1 O" T* @6 W
+ d& e$ r8 y7 I1 t* }$ P. `
(允许将来自父系的可继承性权限传播给对象)# F7 Y' ~: |" b# X; G
) [- M! p# F0 V' Z! B9 R: q
10.如何隐藏iis版本?
( D7 |( T! M7 Z U' t, @+ ]1 d; r3 l
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息% y8 p5 p$ B: H c
: w: q; l, o+ p2 H
iis存放IIS BANNER的所对应的dll文件如下:
+ j7 f* M! W8 k# O/ k; A# d% j- q: O* Q6 K
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
$ W- R' \+ `; T5 Y
- n6 F r! f% SFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
1 q$ B7 X% p. K6 I4 ]2 n+ O( T5 q/ t/ B6 w
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL! _) y P+ s! B8 ^
9 E* K, S; B8 `# G# J
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ?9 R, m4 p; J
& B ~+ t. H- Z+ a) Y0 u3 u1 V
具体过程如下:
4 y* k7 M) X4 v* t" [
! Z5 F5 |6 K1 _$ v& S1.停掉iis iisreset /stop
5 c4 c4 u: A+ [7 x2 L6 X) s; }- a1 z
; ?. G) M" L) k9 S- d, n2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件' J; L5 L4 i2 B# D: l$ T. F0 y2 |
2 ?. m) j" F# D: Q: s, @) T5 O2 O9 i
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡