|
|
1.如何让asp脚本以system权限运行?7 b" f2 w: P2 |& P
* d3 z4 g. O9 Q3 P, p修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
/ j E: u1 C$ \# A; r8 u0 H; z5 h7 Q9 w- x
2.如何防止asp木马?. A- h3 k2 ^5 u! L6 |1 H
# _& X/ N2 P% R基于FileSystemObject组件的asp木马
) o6 v5 f/ K- t6 s" Y: O; ]; R9 w5 b# L! ^: N+ G
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用/ L. h& r! Y6 u
1 t" Z. Q4 @, x, f/ G
regsvr32 scrrun.dll /u /s //删除
3 _7 R4 g# a: S9 L- H& t
; n8 t p- t9 r g基于shell.application组件的asp木马
, v7 ?0 M. a1 R. i1 l
/ J" q+ ~1 c7 E# k" G2 C$ qcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
+ h1 H" G% v0 E. D: o! d2 q& H' S7 }/ N* L, N% k
regsvr32 shell32.dll /u /s //删除
7 I5 H O% X$ Z/ b9 F' ^( q% ?: y P- F* f* F
3.如何加密asp文件?- b: N$ n; T w& B3 B4 V/ t
2 G0 _- T( Z# ]+ K* T4 z从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。- I0 F% [$ D7 J: ?. |7 T+ l
! i" Q6 |' F, D( U安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, g2 Q: R2 U! M1 V' f' A6 g8 j. m$ }. y9 J2 u1 f# @
运行screnc - l vbscript source.asp destination.asp
: R: B8 f/ F1 C' X( D
; s) u1 w3 h8 C- n# Y( J生成包含密文ASP脚本的新文件destination.asp% W1 w7 g: R! k+ W
" H4 \) c8 p& Z& \# J% X0 j
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了" x4 j% l" y0 H; D
) U5 c- T! Z) T但无法加密中文。) [. _6 L) y6 |# N
2 @- v/ q7 a M# d, a4.如何从IISLockdown中提取urlscan?
) a- D* I" t# K. }" c: y/ C: _. O p$ e) L5 y; k
iislockd.exe /q /c /t:c:\urlscan/ V0 d2 q* q1 Q1 `4 n2 a! _ Y
$ r; h% U5 z. Y1 o; u) j: R9 ~
5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
# I0 c- y8 o5 k- \
j$ H( v* b# ?: t/ h: K S执行
2 v: t, b9 [/ |
6 A1 j% _( m4 o y# s: scscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
/ i- f; j2 U- l- u' j3 y: T
}3 \8 F: x( v/ H4 d/ E1 ]最后需要重新启动iis
) x% Q" I9 I. @
6 m, @& H1 W* e6 s2 l6.如何解决HTTP500内部错误?3 z* M, u, z/ N9 L1 `7 M# u
) b& V1 R" b" N2 D: [8 L3 O
iis http500内部错误大部分原因
. ]7 A2 w2 o, @/ V, S4 d/ S% }1 F* c0 c
主要是由于iwam账号的密码不同步造成的。
: z. ] ~8 s; S! m
! T9 A, Q5 R2 \9 ]3 L* F我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。8 j; m/ I% A8 J. A: i4 m" U
% g f8 _: _, ^7 ~6 [% ?! G
执行
# u( H7 i! C9 p' ]
9 }. [$ L. a& _% Kcscript c:\inetpub\adminscripts\synciwam.vbs -v; o! O8 c, }/ R) k
6 g" ~4 {; r2 L- y; }
7.如何增强iis防御SYN Flood的能力?
" d: y# ]1 x4 V0 l
' I. T, D; { K ~: e8 IWindows Registry Editor Version 5.00
) k. ]. F" c( D1 V+ N3 l
0 c. t/ W* H6 o* n, q, C3 Q4 N[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]) k9 n$ O, g; ~; [5 P9 @
! }8 w. _' l$ P7 k( A
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后6 N3 D: Q# X/ K4 n/ G: B
, h1 b& j! g% a6 }% ^. q3 |
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
u) p2 v8 a8 A- O. ?8 w5 e8 O8 k5 U/ E- y* }" r. {
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。& i/ ?, I1 x+ a) }, b0 _/ E$ |
3 e+ }- F0 m! k+ c
"SynAttackProtect"=dword:00000002
# i$ P- f5 a/ Y! t5 P; z, S5 T9 A q" h0 D. s9 u$ Z/ W) ]
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
- m) x. f. ?4 u/ ]1 o2 T+ Q8 \7 N/ @9 K3 y5 C
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- p1 c$ r4 d j% Z) s( v- W0 m& e: f9 W
"TcpMaxHalfOpen"=dword:00000064
2 }! S. @% W$ s% l! @, Q* t$ Q' i# W0 w
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
* J1 A3 H1 _4 h6 y8 A2 z4 Z4 c6 r8 Z5 ?
"TcpMaxHalfOpenRetried"=dword:00000050
5 D# z0 H& [" R2 d, Y8 T( ]5 T0 f: u, [/ @
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。& S& q% ?- B; O R' Q& U: V
8 K% a6 x! F9 B6 S
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
+ T/ a" T2 }9 C' g. K" V, ~- a3 C* i9 ]& P9 r
微软站点安全推荐为2。% X% i0 b5 p* j8 y7 x
) F) Y5 @# c, y( |
"TcpMaxConnectResponseRetransmissions"=dword:00000001. o: \1 r% b* r4 _$ P1 _) {
2 t/ i3 h$ D( V设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
& D3 ]) @; \4 N, G
# n5 Z( M v( Y$ X"TcpMaxDataRetransmissions"=dword:00000003
5 W" K1 ?; T$ l: P9 L+ I8 L/ ~5 L4 ^' e% L
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 r! l- s: X2 r1 v$ |
# J5 e0 [! C$ m6 O& P) e"TCPMaxPortsExhausted"=dword:00000005
) f- _3 _* j6 u
1 o: g" H; j$ \% X: R) ?禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
6 w9 t x. X3 K# s$ \" E' z' g( S! t
源路由包,微软站点安全推荐为2。
' j2 S- Y/ I1 Q) _0 P$ ^; ~% \" o+ d; _1 ^8 R1 p: D
"DisableIPSourceRouting"=dword:0000002
1 b2 ]& {: D8 S+ c
& r+ l2 E9 _3 x2 {! J# u限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。7 h6 P* ?3 {# s' y4 I* I( P2 A
1 o% G9 ^8 C. _
"TcpTimedWaitDelay"=dword:0000001e1 O8 k! \) u4 e) T* p: o/ f
9 [* o; D& _4 ?
8.如何避免*mdb文件被下载?8 [0 z( `$ h, ]) S, D# L. \
% q; z% u) M8 r安装ms发布的urlscan工具,可以从根本上解决这个问题。+ k* E- [& j/ \, X& {0 G( H
4 B: q* J% E, m* W0 d! s# B- o同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。# Y; W/ J& g9 V( ~
" q5 ?% o k4 u
9.如何让iis的最小ntfs权限运行?
5 y) h+ L5 _: I+ v6 [3 V) x3 U3 g0 {1 ?! L8 u, ~1 A% |$ z5 R
依次做下面的工作:4 d1 G, D, D1 [1 q9 E
* J* Y" L0 l$ t3 [6 V& Z2 w
a.选取整个硬盘:
, w- h, j! x- V' I" s5 p. C. j
0 Q# p% |1 R Aystem:完全控制
- a+ o' d( E, X
1 M) l# c z9 o# {* N; A" Badministrator:完全控制& o7 E, ]2 X- c2 A6 x' O7 y
4 P; T' d$ \: K! }: @% s
(允许将来自父系的可继承性权限传播给对象)
8 ]1 G" X0 U$ B& I; X1 H( F8 U( q% C7 a0 |+ u. t+ F6 E
.\program files\common files:# X# N" h. z9 G# w' r( G
4 f3 D+ ?3 a; R, {3 Y. p
everyone:读取及运行
$ J. j0 L% k; }, u/ m/ H
0 B- @9 R. r V! {& K: b- Y列出文件目录 c- P1 G! Z$ x: j+ E" T, v
6 A4 \! v4 r9 c
读取
5 l l( Y. s( r, I: \% N! S8 S. w% \6 h# D3 n) G
(允许将来自父系的可继承性权限传播给对象)
8 J, q% u3 Q" ^2 l9 _- d
3 P" x* a6 W" ~' hc.\inetpub\wwwroot:; B1 `3 P0 G/ d( o( B: v
9 X3 E: e3 M' {2 O7 |3 f
iusr_machine:读取及运行
) E w8 c: X. m4 k! b8 z- u6 i( [
9 y) t% D3 ~3 J z+ f列出文件目录- N0 p, O/ A7 z. m p' P
' f9 r" J6 _ P读取
. F3 D$ Q! g* v& H' a) c$ x) A' O
(允许将来自父系的可继承性权限传播给对象)
5 L/ `" _+ T( ^4 [/ T7 U/ \/ O' d
0 n8 u! e' D" L7 F- |$ |e.\winnt\system32:
, h! z0 D5 E2 g; s& I- c& S9 @
+ Q- R% b! H8 z# z7 ?8 W选择除inetsrv和centsrv以外的所有目录,
) H- y% ?6 a2 w/ p5 w9 i* v9 g5 G* ^: v0 }5 i1 ]" u4 H3 }0 H
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。2 y/ m/ E$ t0 |2 M
8 Z+ s# s P1 K7 g2 Uf.\winnt:7 c) E0 m1 T: ~# ~( l
* r/ _: ^0 k+ m- E
选择除了downloaded program files、help、iis temporary compressed files、) s+ q7 V2 |' @
2 w( `! P2 B4 b9 z; N8 noffline web pages、system32、tasks、temp、web以外的所有目录
# B' ^) w% v5 w) M8 Z
8 c$ v7 o9 o4 j8 T0 s8 R( ?; j$ g去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 f# j; d2 s# C3 l5 ~$ {
" | ?! g: r8 }3 pg.\winnt:4 ~7 f( X3 S* i3 c# T
/ h$ W I+ Y2 I5 \everyone:读取及运行
3 c3 [7 U9 Z" t6 n- K4 M; u$ E
1 g K# m9 J6 |+ h列出文件目录( g: t& Z& U2 c, O
0 M% c" ^3 b0 L2 Z( S3 F% t% k读取(允许将来自父系的可继承性权限传播给对象)
0 {3 C3 ^% Y' d( f/ b: S4 {) o# d6 j; ~% m
h.\winnt\temp (允许访问数据库并显示在asp页面上)1 r; h( g; n' q; @! h' H$ ]+ [( F
* W! u. v. J* D' {& i: _6 X% [ V F
everyone:修改1 M8 E# I% J4 _: ]4 u$ z
0 }- t/ \4 I( P3 d( ]( U
(允许将来自父系的可继承性权限传播给对象)
$ q7 K, m( W; U2 p2 F/ |5 ~0 [# i4 \) [) K( i3 `4 g9 S
10.如何隐藏iis版本?
" W( V4 ?- ^1 \, ^
8 Y! D. l. Q& \# P1 h3 j一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息9 C# ]5 b. y- t- p2 k* N! k s& c
+ p5 q* N/ n: q3 k5 `; Ciis存放IIS BANNER的所对应的dll文件如下:' M1 j7 h& e6 f$ x4 m4 y
5 z' f9 V6 n' F; F5 J. YWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
. |, ] ~. T% J# v+ s- o: o" |& f& t7 u; s4 T: }- H, C& V
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL' q8 N! o6 M& _2 j
2 G0 q2 v* x; ~) u
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL7 B/ D" o7 M% \- n3 [; B _
+ X4 \/ Q% h& v8 [. ?你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0. a# @, K4 i3 v3 g' ?6 i2 z. f
5 j$ W8 T# C- g
具体过程如下:
' t# M$ u, R! w6 S8 F
1 W) S3 Y6 H3 I1 [ r- ?9 e7 R1.停掉iis iisreset /stop6 R! s/ a: u) S9 q; s' F3 q
- a/ Q, q4 j0 v- ]' M) R
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
- }" L j, x1 z. m
0 _1 B- L/ r! L; ?! z" Y8 @3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡