|
|
1.如何让asp脚本以system权限运行?9 a1 o7 y0 O. X4 c/ {- u' v3 Z
R% q, x1 t9 |$ [, v/ j. t修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
+ m0 Q+ i1 |8 o
' {/ G5 a+ f- L* V2.如何防止asp木马?
# G6 Y; x1 e; X8 x$ B
7 a( f8 }5 {1 \/ n# f) i基于FileSystemObject组件的asp木马2 z5 G% i% h' @% w/ _* E
( G6 w- k; ]* h% U' n7 X/ u& `! x
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
) J- y* z* Y7 k7 P$ T; |
% ?1 E$ [3 g' }regsvr32 scrrun.dll /u /s //删除
9 L7 k+ t% ]. d: W3 h; a; [
$ N" G9 a9 T( G4 K( f$ V+ `3 E基于shell.application组件的asp木马7 E( T$ {9 j W; X. w/ B, O
3 p2 H# R: F. ]3 F
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用' X+ R# ^' a1 B" _9 i& J8 r. F2 {
5 s$ ^8 H" e/ L8 }: F
regsvr32 shell32.dll /u /s //删除
; W5 g! F% L/ z' b5 k2 i: |; S3 i$ {
3.如何加密asp文件?4 {! F8 ]1 j+ X* L2 \; S9 H
# O2 d$ e! ]5 q- d, I% r从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
6 {% d. i T3 q* V0 m. w3 H S( D2 p# r6 D3 _
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
! W( _& I, B' z* b3 \' [0 L g
3 b# s; ~% z/ H* n- z$ j4 e+ }% H2 C运行screnc - l vbscript source.asp destination.asp3 u8 a5 f9 M; _9 n4 M/ @
1 ~( [# o1 T6 R. H5 ~$ c2 S生成包含密文ASP脚本的新文件destination.asp) Y7 X+ }+ Y7 k* y
. ]' H' t' |& K) _: i: N
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了* Z, w% o% z( t0 [
& g6 J8 B: W1 N& t; [( v
但无法加密中文。
6 \& { ?0 s9 n2 Z
2 j. E7 m T# `0 S4.如何从IISLockdown中提取urlscan?
8 q/ J* p- @( W$ b7 p
% f5 }7 R" _) d+ W7 T9 Biislockd.exe /q /c /t:c:\urlscan
' r2 f7 ]* V& _* [2 S5 n) H) j0 H7 k
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
) a# s, d2 [, M; j4 \7 m# q8 t" x
执行
2 z F; f7 C6 g9 a
7 z1 s1 W) i$ P ]" T: [cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True, M8 _5 G5 v7 M. y; S
9 j8 [! g$ x/ ^" _
最后需要重新启动iis$ W8 ^7 d0 T: J, {) Y. ^0 k2 Q
' ]0 i0 I7 J! }7 _" \
6.如何解决HTTP500内部错误?
7 G4 l2 w1 g; ]6 F, u% Z+ Y, X9 j
% X" X, M" k9 X5 a+ [iis http500内部错误大部分原因1 I( y; K) @- ?7 y! G6 I n' r
4 [, a+ t: E. K- T主要是由于iwam账号的密码不同步造成的。
' i! h; i" F0 b d. K% v* w3 @- Z7 }* _" i& G
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。7 w1 ?) Y% h. S+ X* {% r( y, ?8 I" d
4 ?, \' q* ]5 r执行1 M- D. j. I4 K! I3 ^, S% n+ u
# g' v, n9 x! Y
cscript c:\inetpub\adminscripts\synciwam.vbs -v
$ v P0 |5 ^2 d7 j! m3 _9 ~* S4 Y8 s: h2 W
7.如何增强iis防御SYN Flood的能力?
7 a9 ]3 |: L6 u$ w9 f) _: S1 v
" w- t/ S" d7 V4 S8 i5 X* w8 L nWindows Registry Editor Version 5.00, s, L% F3 q* D, ?. o/ Z
' }! b% V5 Q4 G* ^5 _[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]! W8 I4 y! z* V) Z% Z* u5 V2 c
. o8 p- ^9 X' v9 y
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后+ u5 Y/ q5 I( y ?3 v* L8 v% p6 V
& I( N1 N/ ~! H |* y2 ^2 G7 _
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值7 {2 C) F# n+ ?$ w+ E& Y
% L. T! C9 z7 y
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 Q. b2 T2 _5 [" G% n/ o
4 |! |& t# G/ h6 A"SynAttackProtect"=dword:00000002( a% G" N# d" d4 B$ Z
2 q1 @# N5 X9 ~: u
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态' v3 o: L* ~/ T+ s# D3 E/ l2 }
$ w- Z5 J! x: V4 P3 W
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。0 U+ H0 T5 D, \/ R0 g2 U
" y0 \0 ]9 F, {' \5 U"TcpMaxHalfOpen"=dword:00000064
1 }6 a# `1 c. F' Q' m7 ]) K( `* q+ y# A
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
$ l! {3 i; [* O: @& x& v/ u' o( n' j& e5 G4 b7 w( I
"TcpMaxHalfOpenRetried"=dword:00000050( e' W% U" c+ J6 p) k
* y: i3 M% w3 A! E @
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
$ p5 o$ W1 m5 L8 h4 p" Q9 Y- F4 |
' @) v* U2 Z0 w2 S" \* \项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
, s) F. ~0 ~6 v* i% P" q
+ F" t5 y! U% w% k" w! l, R微软站点安全推荐为2。% a3 m; R2 |7 i# d
9 K3 W, J0 d: C1 Z"TcpMaxConnectResponseRetransmissions"=dword:00000001% ~: ]" m, d/ C7 P% z& } o+ E
. n! J6 {5 n2 a9 w% X* k
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。- g: z1 U# T# Q# V
# k% K8 S5 m3 y, W$ O7 I"TcpMaxDataRetransmissions"=dword:000000036 R. M5 D/ k" F; Z
1 s; C# \8 A8 L& C7 d! d
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。1 w# G, `8 a0 t0 A2 i! q) q1 L$ b
) T4 l7 h8 M E, y5 j. _( |"TCPMaxPortsExhausted"=dword:00000005
' K. y4 S* T4 `' x: A v1 h4 k0 a4 W& ?
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的6 C) B3 }- x# v: X U) {
0 G8 p. j0 t9 }, y1 S* K
源路由包,微软站点安全推荐为2。, {% o4 ] s9 u& q2 Z
+ g2 I' Q9 a& J"DisableIPSourceRouting"=dword:00000024 b- y, |) @% J7 e! ]( }* o
) J* v8 f- G& j7 M0 L限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。. z! L$ g1 G- g1 N/ v* ?
3 x+ U8 \1 O1 I"TcpTimedWaitDelay"=dword:0000001e
G* w6 v4 o" v3 u6 w
9 U( z0 y8 ~. G- F3 G5 S. M' e' e+ V8.如何避免*mdb文件被下载?
( h' s) O- l ^; c, j" A# W7 r$ |, N+ b1 I+ b
安装ms发布的urlscan工具,可以从根本上解决这个问题。
* C3 ?0 w% K9 y
8 l! m' ?& f3 i6 J* p* v- G同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。2 O$ \- R, d! h
5 o8 n4 D9 g( ] I
9.如何让iis的最小ntfs权限运行?+ x8 a3 X( r: {" a- w6 r
7 _2 O, [( L5 c, i" |2 \" ?* G依次做下面的工作:
9 I9 W( L: T8 p T, q/ V9 ^3 M! |; P, P" S
a.选取整个硬盘:+ D! p" @4 [: R" p4 }
7 n" f7 B4 f6 i$ |8 d
ystem:完全控制
% ]$ Z# m$ [* j* b/ Z2 l8 |0 P- r. a9 ~
administrator:完全控制' q0 D* ^* s5 {5 I9 k, U
& m1 s0 g2 U3 G( x. ]7 ](允许将来自父系的可继承性权限传播给对象)
6 l: B# |/ s7 i8 L8 B' j2 V0 Y* B2 o/ |; Z8 X5 R
.\program files\common files:
5 {8 g0 I9 V( t8 d5 t- }4 R* F# k" Z0 ?
everyone:读取及运行
& a9 m/ L+ R& ^8 z( r
2 g+ w0 n* [6 G) K. F# g3 B列出文件目录
* T4 h& i0 u) v' \# @4 T3 @# L8 K9 o# K% Y& l; u! ~
读取
. @4 J$ c2 ?9 t2 c% |8 y
* o% [; @3 K. T' O2 v9 a1 B6 c& G(允许将来自父系的可继承性权限传播给对象)
2 l- T+ i5 t/ I7 j2 E- _9 E% O/ W8 ?6 ^/ R u r
c.\inetpub\wwwroot:0 ], g& h) c O6 j8 n, m- {8 }
/ m0 s% q( }3 o2 }6 S) g5 T
iusr_machine:读取及运行
" T; v* ?" b: X e0 s, |' t2 _3 b* t
列出文件目录
+ R! g, S0 \* j' I( G/ t/ e8 I# Y* p6 p0 h- R% C
读取, j* H$ ~& C# h$ X
' ] R1 N& F# L7 m* c
(允许将来自父系的可继承性权限传播给对象)8 `4 _1 b- L/ |
4 \! ~( I! g1 f; B+ @+ I% K
e.\winnt\system32:$ x: S( \, R t+ n" _& Z( F$ ]! |6 R
! }3 B4 P# U Y, u
选择除inetsrv和centsrv以外的所有目录,0 \8 s- D/ p5 F- v3 ?/ n$ l
" Q: y: u4 K+ h7 T7 X3 D" E5 W
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. |: m7 {2 q q' l ~/ y- o1 `- s5 t0 Z1 {4 z, M( G( U0 k
f.\winnt:
7 @" d; A! l( `, U; h8 |3 O4 s2 ]1 R
选择除了downloaded program files、help、iis temporary compressed files、
- X3 g8 a5 R) V3 n% C' T" j
. L* a3 D) V `' f4 S& E6 Z2 Soffline web pages、system32、tasks、temp、web以外的所有目录
# X" l9 s @% W6 w+ {9 N, u1 s$ \) N4 }. I A4 H
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. [' C4 |/ B8 Q6 T' Y- M0 {- \) {% v L
g.\winnt:
2 H, A: L. {6 Z4 f- S. J" l$ B Z, X# C4 t" c% `
everyone:读取及运行
% T8 {! x6 i0 v$ }5 R( n& D# y: h9 d+ O' S+ q! G- h
列出文件目录/ D1 i( F# j/ U' Q) B* G* ]
+ y% [; }" J/ @8 X
读取(允许将来自父系的可继承性权限传播给对象)3 \) v4 `9 {5 n2 Q# W
1 ^2 X. v' j" G d, qh.\winnt\temp (允许访问数据库并显示在asp页面上)
9 p4 d# |- n6 X2 r- ?7 l w3 S' }4 J: ] {
everyone:修改
/ ]' s9 J& f6 F/ e! l' @3 ^4 h+ w r- A+ E0 w* H% g, k# N
(允许将来自父系的可继承性权限传播给对象)9 U: r, E% h' B4 I z
: }2 N" d0 H/ f. K w
10.如何隐藏iis版本?5 e# J( [9 d) r |/ p7 s0 o
9 v& H- A8 ^6 _; t6 \4 k0 I一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 K, @) H6 N! `" T2 B5 S
% k: y' K3 U& |* l# h3 {4 J
iis存放IIS BANNER的所对应的dll文件如下:7 C/ S# x" \' k- K
: g o8 o# [. S; B$ r3 G+ [( {# o# X
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL, f1 [9 g$ w) l3 ~# t( B
' y$ L2 R6 h. k; {8 r; X2 U @
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
! B& q. R' ^ m( I* t& Q: z& j. q: A1 t" e9 M4 S1 T
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL. S; a/ V) R P7 i) T
; _% j" s' M2 V, [+ s+ ?你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.08 t# z5 U( X' v2 V/ M+ o2 d5 z
; x+ j- a% {# q3 H
具体过程如下:/ c+ {8 f6 y6 _, n6 a
4 ?1 [$ H7 a4 C& o2 B
1.停掉iis iisreset /stop
6 Q8 O5 d% r5 x4 K
/ ?3 J/ _% ?( Q' b2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
* Q) l/ x$ i M( c4 ?7 d
/ b7 P- T' B0 i( E3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡