|
|
1.如何让asp脚本以system权限运行?
$ h6 w; z: N7 b: I& E4 \9 W) G2 W& w( Y- o) r3 ?9 n5 S! n1 t
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"...." R8 y; m3 `/ R) _3 q$ P
: Y1 l/ R6 F/ C
2.如何防止asp木马?
! v# D, x8 v' K6 i
8 r1 @5 C+ i, a: ?6 ?( h8 |: ]基于FileSystemObject组件的asp木马
3 Q+ @4 F, t. D/ @: K( H g# n( a
4 j9 n+ o1 ]* K$ ~0 q& X' icacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
3 B0 s& G$ \& M( E6 O
. t. @! S% k' `, lregsvr32 scrrun.dll /u /s //删除+ t3 V( g2 X" b9 r2 H$ t" D
8 O1 g% X3 U% u' y; C
基于shell.application组件的asp木马
6 ~. `; r2 ?; h0 m
) I1 ]! h( L+ s0 _) hcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
6 G% e2 g+ T$ @+ ?( a, V$ {# b! @8 J
0 e% S H) H8 d+ Pregsvr32 shell32.dll /u /s //删除
@/ ?4 @, o d" B7 g: k4 g, x0 g
3.如何加密asp文件?
( C* k+ v5 ] p; ?! k* H2 }) F! K5 K; Y7 s$ U
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
) [3 i# ~4 F9 g. I) Z
s2 m( X: p+ Q. H* g* K安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
2 T$ J2 S0 U1 Q+ ^
; c( L& O3 t+ K- {+ a, r0 ?( L! e5 H运行screnc - l vbscript source.asp destination.asp
9 B8 W) `7 h7 v5 {
4 Z, E1 @+ q2 i$ W生成包含密文ASP脚本的新文件destination.asp8 n; V6 U+ V0 b, g
J8 O& M7 E5 V' ~# Y$ Z3 r( ]) j- A
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了7 P9 t1 I& `' p9 r) U
4 w1 L2 @# n4 f8 V但无法加密中文。
! v( }# ]8 x& Q1 J/ ^4 C) p- c. j' p1 N& [ ` J
4.如何从IISLockdown中提取urlscan?
; l! h$ U h) j6 T' ^: W
2 k/ n2 g6 z# o5 r. Ziislockd.exe /q /c /t:c:\urlscan
( e c4 G/ ^* n# w$ e
7 i; j: W0 J6 ?, a7 [' |! `5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?
* [, U/ o5 n8 z$ n& F9 k3 X. Q( E. S
执行
/ S# s( Y- s9 M0 x7 B
3 G P; j9 r' A g+ ccscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True' Y' f1 R6 F# ^! Z, a
. V5 `4 K' j% S- o) B最后需要重新启动iis/ o0 X# w( w; q5 p0 p2 x( ^" f
" H: M3 r, y" \
6.如何解决HTTP500内部错误?
/ d/ [. r6 v! W: F( S4 ]! t2 I6 L
+ Z, `4 `" C V1 b3 Niis http500内部错误大部分原因3 S# S( C# i K2 q
' q& d5 e# d* t1 @/ D
主要是由于iwam账号的密码不同步造成的。( `+ U. W+ E& _4 S. W
2 I: g& s+ j* T. [4 \0 z% U我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。+ f4 }8 o& O3 S% h. b: I% {. m, ]
8 Z+ F0 G( G2 t* o' O1 ^! ^5 S执行4 }& {3 j+ f% n' ^' x# Q& f* H3 J4 w
( o& d8 w9 t( Ecscript c:\inetpub\adminscripts\synciwam.vbs -v
, [+ j7 |7 R- f9 B. z! N- F; H+ b) I, m
7.如何增强iis防御SYN Flood的能力?
- C( u& R6 x9 ?2 u7 t8 o% b# t1 z7 x% g4 F9 a$ d" v: i
Windows Registry Editor Version 5.007 i% z1 m- s5 _6 o3 o
) B( c* R( V8 B% x
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]4 C2 i+ s; D% n: x3 l9 |- v
* J4 ^8 J; S$ q- ^4 I; h
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
9 F# y0 j+ I7 _* m
% x2 Z& t, T* Q; z2 U安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值. G8 y6 y) h* }/ P3 Q
; w& F$ R' ]# S' G4 d5 ^
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
; M3 z& }% C* L, W' h! q" T" W' F/ Y8 a
"SynAttackProtect"=dword:000000022 Z- v5 M& ]8 {: S5 { ^4 R
4 V! n5 s4 t9 R# f/ R' v$ X
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
1 U3 T8 f+ t$ u
% }2 s9 F' |: B的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
$ g8 h' a( K4 D( ?
; V( r9 T9 t9 W! h: h9 C# J"TcpMaxHalfOpen"=dword:000000649 c; f8 u: z. M( j% p% @/ ^ {, c
+ ]- x; k: y5 ~* @( C判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。' R: K- w( v v3 o" \7 q
) @$ X# }8 P$ o7 ]4 \"TcpMaxHalfOpenRetried"=dword:00000050. A- N) O3 z7 w, D) N* o, [2 d
" \1 m$ v7 }; i& l9 K
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
/ @3 Z/ n) @5 l& s; T# G7 {- M: _/ Q, n
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。. _* n. x* L: K1 l. ^) z# A3 P8 A
' S: ~4 u" z. j. ~; c9 Q8 P5 ]微软站点安全推荐为2。' N/ T) j4 B: x2 L
( K7 |! u. h! T( H& H"TcpMaxConnectResponseRetransmissions"=dword:00000001 t2 n# L( i3 O" ^- N0 ?: U
/ @* r Q% Z3 b1 z% x设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。+ H& v! `" w3 B6 P
6 v0 a' U* X [* n9 `( N r0 d+ v* }5 ?"TcpMaxDataRetransmissions"=dword:00000003
% W( {% d! B4 u9 c. E. o
" q. m: u4 f) R设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。0 |3 J7 k; @+ ~0 H) W& h; w+ `1 P( ?
1 Y1 I i* e9 I8 C- p3 y"TCPMaxPortsExhausted"=dword:000000058 j. R( H8 c! y
" c7 i0 l$ ]5 O( c0 q% ~3 _9 Z禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
7 Z* Y9 f H4 _$ z! S. m, Y
+ {3 m9 b% J; U源路由包,微软站点安全推荐为2。
) N) c1 N: \! X# r
' ~* G1 v" Y9 B; E& E8 f8 s$ W6 e"DisableIPSourceRouting"=dword:0000002
9 n X+ W d- W) n& D* x- [1 ~1 X% v8 R I* r2 x% O
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
# t* s% j2 G: D8 {7 Z, \% f5 t- Z. Q2 D
4 H& }9 U: p. |: \"TcpTimedWaitDelay"=dword:0000001e1 d- X T7 O/ e
" v. L- E7 f. B8.如何避免*mdb文件被下载?% J& q# s% t' G, }1 g
& R( t; {2 ~9 h. K! N( a安装ms发布的urlscan工具,可以从根本上解决这个问题。 T' P' c) _; K# K5 Z6 \
+ G V% R: _% s/ a! a. P1 D4 K- Z: d5 J" v
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。+ y( t/ F2 f+ p6 S6 d" Y
+ m1 n- D0 \ N# m' P# J& {9.如何让iis的最小ntfs权限运行?
' f$ A3 W# m5 U/ f9 X! P2 Z' J7 A) \
, w" Y! e5 K' E7 W! R6 L依次做下面的工作:
2 i; m! O- N) S$ C' B) I1 R/ n, G5 C4 y2 a: h( V
a.选取整个硬盘:4 @ X7 M0 Y7 p; U. H, n: \: y
# [7 @6 m* h( E [6 U. G' }: f
ystem:完全控制+ M6 T' ?8 N' \, L" O3 X
6 n5 N2 |+ n2 d: H+ Y- {4 N& nadministrator:完全控制, u9 f. l8 \5 o% U9 |/ ?" f) h
9 k4 ] d" J9 W1 o5 ]# d(允许将来自父系的可继承性权限传播给对象)- B0 R9 }9 y+ D
0 B( _! w b- T* D2 {$ s) D.\program files\common files:2 }1 w# c+ Q; A {8 v3 U
- }% u6 ?$ G/ d [1 b7 {2 f4 r
everyone:读取及运行( x8 h( b% {% G
( h# u2 U/ j( l6 c+ T. p) @7 Q列出文件目录
, G, I1 c {! n; W
9 H0 m7 _# V0 s, D# l1 L R9 H读取- v; b/ K% Y0 z N8 S
6 ^" \0 e! [# q; P7 j(允许将来自父系的可继承性权限传播给对象)
3 E7 a! S. n8 [$ f: T
) t& C0 ~1 ?% rc.\inetpub\wwwroot:
* c) |$ @ U4 ~+ F) t* ~
8 E0 H" n' M4 V0 S l9 J1 Eiusr_machine:读取及运行% }. t; [% U, K+ y4 K
' @9 |" b; ^" C% N$ @列出文件目录
! Z2 W4 ~. _7 {+ C# R" \) N
: w, |9 [/ h, Q% w读取
3 ~* c+ e" e6 a! w
4 F0 C y* j4 J. d4 Y- S+ d(允许将来自父系的可继承性权限传播给对象)
* Y( R8 b8 q1 l! x. \6 L% w
; A+ _: \8 j! S( k, @e.\winnt\system32:* K3 t# N w5 G. L( p
4 k8 X7 o9 ^: O' n6 s8 y% v选择除inetsrv和centsrv以外的所有目录,
% c' S! _" l* q# Y# d, O1 d/ F6 \9 M& a& n$ n- s
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6 n4 x( `2 H: i3 p t9 C( N3 S5 j4 }; ]1 ?7 j9 p. W
f.\winnt:
9 W# \' s( |( x3 a; U: E7 m7 d# r9 E9 B6 W6 H; a" x
选择除了downloaded program files、help、iis temporary compressed files、. }! F' o5 d9 r" I9 b
3 H2 L8 H$ S5 t* F( X0 W; B
offline web pages、system32、tasks、temp、web以外的所有目录" Z& B& y* C' T% T2 y7 ^, C
6 {' I4 K6 `' t. G$ I- c; ?# o/ {去除“允许将来自父系的可继承性权限传播给对象”选框,复制。+ y1 h2 p$ |; |/ D! A
9 I2 l7 E; l* ?. G# Ng.\winnt:3 C- S! c7 u. J4 g7 @- S
( h( e) k3 r* B0 v
everyone:读取及运行
7 M- H2 v4 n* B4 F ~5 C. T0 R; Z; \ O' y* |0 E& |- K
列出文件目录
7 C- {4 M3 \$ P3 Q
0 n/ N% H( g% D6 |* e0 {3 w. s读取(允许将来自父系的可继承性权限传播给对象)4 M7 g9 ?& z3 a
% g+ m" L8 J; Yh.\winnt\temp (允许访问数据库并显示在asp页面上)5 R S6 }5 X( f
+ L( _6 [" |$ d. L8 M. K/ C" oeveryone:修改6 ~4 R3 P( |2 c7 n/ `
+ `) _) |3 g' a, X ^! i( n! S
(允许将来自父系的可继承性权限传播给对象)
% B, [( D" J6 A
) g! T! P Q! z0 P6 }& n$ x" t10.如何隐藏iis版本?
+ H# z$ k, p2 s. \
2 C7 ]2 Q4 `3 d* ^9 N, _! O( h一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
+ X) F: _, Q2 E$ o! `, k( Y2 |* V! f% j% O" Z9 n) j& O+ N
iis存放IIS BANNER的所对应的dll文件如下:! J& J1 {* O5 X- C) k* t& m
7 b$ X9 P: t" i2 BWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
) j+ x0 w% r5 I4 N" D) j$ `* M7 K8 e/ _* D+ \( k6 ]) _
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
$ J+ E/ i* p/ i, B% p- _- A
( }9 e: ^% Y, D4 A$ M5 L8 P! ^9 }$ }SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL1 R/ b# u. R5 ^/ F w
! C* J# S& C0 c |# ^你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.00 q$ Y& L: x1 I: b
: Z/ k2 Z2 N4 s1 J, H/ d
具体过程如下:$ |6 W- O# g& G4 h5 Z
/ z$ D% |% R( p+ I4 Y, b+ S1 I1 Z1.停掉iis iisreset /stop
6 E# H* j! k) C( Y0 [! a# ^$ R n4 m3 C/ E* E* [6 g) L
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
* u3 _. r/ D- R9 h8 ?& U7 Q, ~' x2 P
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡