|
|
1.如何让asp脚本以system权限运行?
4 H4 A" A3 q% n# x3 v9 X% ~; O% `
$ n! h3 f" d0 I' R修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
6 f, V" Q" m( @& ?" m+ c& R2 t5 b A, q
2.如何防止asp木马?7 s9 Q, B" f# v( Z: v
4 E5 L& h6 V6 R' G6 h( t& H基于FileSystemObject组件的asp木马8 T* H8 x- L: l$ m
: X% X: j3 W4 W0 w+ A0 Kcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用; v9 Q( f. {) v+ n" S8 _
: X3 i, d0 b9 u8 n: }/ b8 vregsvr32 scrrun.dll /u /s //删除
9 x6 W* O) ~) i0 [, f2 Z
/ O7 \6 ?4 U `% v; _8 k3 i基于shell.application组件的asp木马
" I, V% R% w, [0 B
~* [% u2 K" Q% a) ^cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
% o6 ]& X- C8 k% p% i" [ }. ^4 f: A" U: O% b7 h) Z- g; _! V
regsvr32 shell32.dll /u /s //删除! C2 f3 B- S$ F Y% D2 {
8 W% U5 S, B# e/ E
3.如何加密asp文件?
, y+ z D: D( v( c6 ?8 }4 m9 T
5 G! `/ h( ?3 Z( r从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 Z$ {, J: J- y3 t' d
& J3 g5 s1 [* r& C
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
/ [% V4 @, q9 z) j6 ^
; i1 T T! @( ?6 H: n7 ^7 x运行screnc - l vbscript source.asp destination.asp
5 O! V w+ G. _: g' }# i; F& p$ [; n! q7 A% F' \1 h; Y
生成包含密文ASP脚本的新文件destination.asp1 F% b- V/ v" N' c6 P
& ?0 V( n( j) H" c# I8 I. h
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
8 g) E2 j( o2 y# x* |# j4 r
' F6 u7 e+ j" F" g但无法加密中文。
! Y$ `+ l8 g- D) w8 v9 m' y8 V+ t. h: w& H$ T. K
4.如何从IISLockdown中提取urlscan?. `) G/ P, m0 t* x
, N: t" G5 @9 A5 U, S' _- o1 Hiislockd.exe /q /c /t:c:\urlscan6 x I; l# q* T7 s2 N
: a' T! @' r5 A5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
) M# H+ m& |: L4 h+ l* [1 f; x4 H$ x8 D) s% i6 F3 @* a4 S: Q1 ], o
执行4 c' l( g2 V$ |0 F g0 C
( _( \6 ]: A% l6 q4 _: b& A
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
2 G: C0 d4 S3 N6 |) g; F* S0 |1 y3 f# p$ {- q1 j0 d
最后需要重新启动iis
, Z% o7 j9 I; e! L3 T
) j5 ~( \1 {/ a' }/ x1 L* Z6.如何解决HTTP500内部错误?
' w3 d. S' D& W7 }
^' N, R4 |9 _8 d" Z6 Z$ oiis http500内部错误大部分原因
" [1 f0 n/ J% a l0 m* C$ M, g" v5 Y) ]3 l5 r: E7 t- i
主要是由于iwam账号的密码不同步造成的。
* n1 K1 N4 J5 o, W! w4 u$ a0 O
+ Y+ w+ P7 S2 x我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
8 ], ?) C& C$ o8 `7 x! v
2 T' k. b- A1 w" l( Z执行: o0 X+ Z" y+ X
5 z& y6 a( H+ a L5 o; v
cscript c:\inetpub\adminscripts\synciwam.vbs -v
7 D- j$ G$ \* y. n& d1 u8 U* K6 u0 V+ R* m& f; H, N* G
7.如何增强iis防御SYN Flood的能力?
; b! v9 E: @1 |) l6 j% y- Q7 p/ U4 ^- q. o1 g
Windows Registry Editor Version 5.002 m. R$ P: x, ?7 f; r9 z# |9 ]
, T. H' |- y) y {
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
; ^& w7 f2 s. ]# u1 T- D$ c; j/ Q5 ^% E& ^9 F
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后3 X% u3 I0 D9 y( i/ l" [
; e$ w3 a+ s! j, ~& G6 h# [安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值* X* u* D( Y6 E
% F* B: g3 e9 C | p1 d设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
5 w b$ }8 _' |+ p" C; J. _6 A* \' ]$ x
"SynAttackProtect"=dword:00000002
( x6 I3 ?$ {) J
" _8 i! p7 b( n5 i) M& A: T同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态) R! k) R4 ~& Z7 j$ m8 z; x
: y( T8 ~6 p7 [2 [的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。- s5 D& m6 }+ p; W& a
1 g% w# n& B: D! ~% ]6 j+ h8 Y"TcpMaxHalfOpen"=dword:00000064" |# f5 m& V1 {8 [9 q. F# @1 G4 ~
$ }. G3 C4 k, L! ^) t% N9 l判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。9 I1 O) R7 d$ y7 {4 T! I
; l8 n3 o2 h& x! U, A/ \: L"TcpMaxHalfOpenRetried"=dword:00000050
4 [5 e4 A2 M$ S9 _0 }5 N! c# _* f9 s% {
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。- |/ _9 \. V9 N5 P+ T8 J
4 q8 U# |3 { Y9 x, |项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。. n8 P4 E! m/ o9 {# F' m5 M
3 R, P$ l' X. a4 m. a, ]微软站点安全推荐为2。
. D8 K1 d. j7 ?3 c! H3 j# O+ ]# N( @- b6 @
"TcpMaxConnectResponseRetransmissions"=dword:00000001
7 M' c' {' A0 e$ B7 ^( A5 f
7 R m- C/ m) }设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
6 s" J9 L% q' P; k0 w, u
0 i+ K1 W9 O5 w: _! P9 _' ~"TcpMaxDataRetransmissions"=dword:00000003
7 c3 u) J) }+ U7 L6 k
+ J" W5 W8 x' |! @6 G" O设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
6 X v: N3 g! ^8 Y
+ @& | k4 b+ ?0 s. Y" {) w"TCPMaxPortsExhausted"=dword:00000005, \: b7 ]5 ]6 O+ q: A
! A) y7 |- x1 a; Z9 `, [! ~# L9 W
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
6 d3 o8 r" u2 N+ p; b. ~
; K1 [' w' p$ ?: j源路由包,微软站点安全推荐为2。
) {6 ~" O7 X# Z" ?4 m g4 [. n# h* C. }# `% @. j0 Z" a
"DisableIPSourceRouting"=dword:0000002% i; S3 ] X9 c4 h: Q
) b' G- u3 \( N( g! J5 i: K
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
2 \; n( ]' n0 h. ?) G9 w8 T$ o
, N' T- i4 ]2 _& I" ]2 f"TcpTimedWaitDelay"=dword:0000001e
5 H" b2 z$ \6 {, [" g8 O" X. [+ t9 J' }& Y' Q4 B
8.如何避免*mdb文件被下载?
' x2 r. e* |: q, u" x! [# S8 d+ h8 O& y$ ^5 m+ `
安装ms发布的urlscan工具,可以从根本上解决这个问题。
7 g# A7 e2 L4 u
' ~/ x0 W9 a1 @! ?" r% L8 p! X同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
. y$ s5 j% h6 J. q% d6 I. O
9 E" c# e: h# D1 S: `9.如何让iis的最小ntfs权限运行?
: x" k! m' n g) T
0 b/ L( H% z6 d4 v+ h$ }依次做下面的工作:- G- F( t/ s! _8 f/ ?/ ]/ y2 _9 S' q1 S
L7 d# k- W. J% h6 k' l# s
a.选取整个硬盘:
" k7 x6 ^9 I1 i
9 i) K* o8 `# f. L: K9 }' d) |ystem:完全控制
/ `: t. `0 s4 M' I# B2 z, C, _! ~
: p( Y) M1 I1 G( `: G2 Oadministrator:完全控制$ I- }. A- u x3 X# ^, k% m: Z
' e0 m3 C% N; S. g6 D% R
(允许将来自父系的可继承性权限传播给对象)( l! ]0 w t" ^" a7 V3 J. ?
) E2 B+ T r; f5 L, ~9 E
.\program files\common files:; }/ y: q5 D0 N* x2 L6 _
' F7 B$ _+ ^% e0 Z
everyone:读取及运行( w' y0 Z" Q' y9 {% p2 r0 S" M
' o" w3 ~6 b9 Y( o4 x2 P: H P$ X列出文件目录 p* C7 X! A1 [6 k, S- n
% m" P0 a! `( P# S/ l* Z读取
" R+ l8 b4 Q+ l) z" {* |* n7 W9 H- S6 D4 c6 T5 `' w
(允许将来自父系的可继承性权限传播给对象)# f! A' S1 s* W" Q2 S$ @/ _ v- e
# ~( A3 \! |6 [2 t! Y7 c Y' J! t
c.\inetpub\wwwroot:4 {* h$ `$ c" y% \
, ?" ]8 m) U" x0 y
iusr_machine:读取及运行* o" q: y5 t6 \; N
& X9 @1 k3 O8 e" y [列出文件目录
; `4 D( g: H- D$ [4 G. U4 _7 v0 _3 c$ R6 o
读取
2 R9 t% |) W, r; G( U3 Y; g% g7 T' M4 ] @' ^
(允许将来自父系的可继承性权限传播给对象)
( W1 c8 _$ \* d# _9 v- ^" v K" |( h) M+ ]+ t; r$ ?/ ]
e.\winnt\system32:
1 Z+ J9 o, {' K4 f- _" q/ T( ~1 }- |, f0 i* }
选择除inetsrv和centsrv以外的所有目录,
% F, D4 }8 k: |$ f3 F2 m; Z( ^3 [, g: u% d+ p' M4 ^; g8 U
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
0 H- N0 k1 o/ L8 t5 L' r! P
* N' `3 `' O6 j8 I8 O0 sf.\winnt:
- W7 P. |9 p, y; w
) W3 t' V8 Z% Q选择除了downloaded program files、help、iis temporary compressed files、
% G1 w' u1 o+ e/ J3 r" A% j; M. `) c L( z2 U* f4 k
offline web pages、system32、tasks、temp、web以外的所有目录. F8 l9 N& n) i* k+ l) ?) S# T
/ a2 c {# X# p: Y: |. V" W2 n
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 t& Y2 v" H# X' Q% I5 ~& Z$ g9 v) d
g.\winnt:
; C' V i" }9 P
& ]% B3 _) Z' G! jeveryone:读取及运行
0 S6 `, E: ^0 k) B
* n8 Y7 G$ Q6 F/ U k列出文件目录7 Z' u( R& d1 e% w/ }7 D
+ y7 j; S/ `; d5 [
读取(允许将来自父系的可继承性权限传播给对象)8 s) f: M* E9 a+ U. g* i
- B% q/ ]7 a& o8 d; m. ?& l7 j% k( th.\winnt\temp (允许访问数据库并显示在asp页面上)% \1 y) {+ |5 P" ~9 O! I' B
' |( `; h, s# ?6 Z# ?) y/ Y
everyone:修改4 T; F) _' ]1 O) W' x+ ^( e
+ I- ^' K9 m: K(允许将来自父系的可继承性权限传播给对象)
; ^( @: R( u, C( f7 u* e; P, |5 ?/ t w0 G6 E7 L7 S1 k' b
10.如何隐藏iis版本?
2 F7 B7 y9 d. J2 J, r. o
. G* [% X- E' {' r7 f# a$ S一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息% f% v1 z7 c2 Z
7 u& a7 Q6 V% D" c4 K# u- i4 A3 u
iis存放IIS BANNER的所对应的dll文件如下:
( ^* @ f% ?4 m! f. X
. Q. z; k; ]5 g$ D9 tWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
/ `$ B3 C# E( [* j( g* ?0 V# }" X6 q9 ^. z8 j: e( b! F# N
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
& f/ ?/ E# g: m- w& u' G. q& _
% O8 m1 [: s+ SSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
9 F' e5 h+ T* D' k9 q8 M8 p2 Y4 X' b# d t7 x2 j* d5 E k) |
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
1 M4 v8 c" O% l F1 j; a) H' O/ x; f" L" ^: [
具体过程如下:$ m$ n/ K9 z/ s; X+ n
: V I" L- Y8 E) `1.停掉iis iisreset /stop
+ K! O( m6 n4 Y
1 C ~0 z1 a# l2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件. `+ \0 i9 L" B, f
7 N2 h9 t& ]4 V3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡