|
|
1.如何让asp脚本以system权限运行?
3 n% `& s, s( a1 N$ u2 J& y( o
! K& z; }/ T6 [' d) ?2 Y. J& V修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! h3 B0 K! Q& }) z8 x5 W& j( b* t2 ~2 S- }$ C" d4 [
2.如何防止asp木马?
4 J2 E7 G/ @* v& E' y( ?" Q) ^3 R0 r
" k( G; @1 I0 M2 A+ A) L基于FileSystemObject组件的asp木马
3 c8 k' g9 s: e8 c& ]. Y% K l A/ J$ o# M5 M& W. ~
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用3 N, c! K9 ~# e
1 t# q5 z7 ]6 b5 c% xregsvr32 scrrun.dll /u /s //删除
- d' S: \7 \* C8 Q n: x2 S3 [. l$ Y( O, H9 m3 e* N
基于shell.application组件的asp木马& h& R2 o+ w) x
1 g* [$ d9 e5 x+ Q
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
, U! ], S! e. u Q: P- R2 Q
8 i' ~) [3 ^$ ], u+ Nregsvr32 shell32.dll /u /s //删除
# f6 Q# b$ X9 ^, G1 ?/ w3 M7 R4 \) L/ b; q
3.如何加密asp文件?
+ S7 ]& C5 [% H$ d$ C# g. ]2 y. o, N& U. A9 F2 L6 z
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。5 k7 j- q, S3 h3 G
) Q# \( \& g; r! D" w安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。# f$ r4 o2 g9 E5 E% q9 X* D8 B. b
% }$ A8 N" K" Q L
运行screnc - l vbscript source.asp destination.asp, i; Z3 m& {: C
1 H4 w; _8 p& G N$ a
生成包含密文ASP脚本的新文件destination.asp
0 d) J9 N. J( O t2 U( e* K4 G9 L, N/ d
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
, C- o, C; L; u% A* P5 H! Z: x J" N2 D$ n( u
但无法加密中文。/ ]7 U8 d( B- B$ o+ L! `6 ?
7 ^0 y# L8 Q( V- D" e* u1 L. i4.如何从IISLockdown中提取urlscan?( K, r4 I6 B# V# {
* j* L9 q$ P) n& c8 g! hiislockd.exe /q /c /t:c:\urlscan
% W. S( ~) I0 p9 H% m$ J/ O
0 M9 q, y* j5 n2 \" d, x5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?4 U: W# e- L4 \! e
. E/ A1 {9 G9 Z$ k& m执行" l% _+ b$ V6 i
6 v2 R' X [7 d9 q: Icscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
8 \2 c3 a5 b2 a
1 b# D- @5 s4 p最后需要重新启动iis
" U4 N! o, @! m2 X8 s* ]
1 I. D1 \8 K4 x/ Z6.如何解决HTTP500内部错误?0 ^- m8 y* R- S: r# S' Q" N3 X& J4 v
3 m6 B6 b" q" C
iis http500内部错误大部分原因
O+ f- q X: h, n2 f# l* F3 {1 X1 F0 D: I* Y3 Y- U
主要是由于iwam账号的密码不同步造成的。
d' s* B' I, H, [0 H
$ z, u: M* \$ ^' a/ I# i/ _我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
$ y2 b/ {- K1 y5 ~3 c
; ?& V* |2 Y: N% @( P! L3 `执行
0 a6 Q& W, _! v# J0 d" G% m [% V6 P! H9 x& @0 f
cscript c:\inetpub\adminscripts\synciwam.vbs -v2 x0 G) W$ D! k, B- O' l+ E
' X: j: V) v5 A9 F0 e+ q1 ^
7.如何增强iis防御SYN Flood的能力?' T/ N H; s# V1 _( R5 b* s
" P2 k" L( C8 R( J5 k
Windows Registry Editor Version 5.00) q; s; v+ } |; j
' P) z- M" N( P7 j- }- V7 H
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]1 X% ?: s# A$ J+ U% Q$ f% E3 j
( w& Q Y. W0 o! ?4 Y启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
, [2 l0 T5 I# y5 Z( w. ` Y& U* s" u( {1 p: ?$ U
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# K/ K- }9 x: i( Q1 ?% M, k) y! I
4 H/ S1 s( t! ?+ F8 \设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
3 \* R7 P% H8 g% I! ^! ?5 D! b* v( a2 e2 Z: t6 v
"SynAttackProtect"=dword:00000002
3 b3 `% z) p1 {
; y3 V0 u( s3 Q$ D同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态! v% U) v3 T. w& J* s
+ p8 {) u$ I q+ X9 h' W' J" `: ]的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。+ h3 V9 L. L% S! _: q
7 a2 n2 `' ]3 q6 h# M
"TcpMaxHalfOpen"=dword:00000064
% s6 L: }: J% e3 u) R- M0 k. O' w( C% t% f7 _
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。/ v7 u* \& a l% y+ T( g$ @1 h$ H5 o
a7 Q J: p3 }/ c- e( Z- s* B4 k"TcpMaxHalfOpenRetried"=dword:00000050! W: z' A5 i# q* Q2 N" W* v' d1 i
0 K# H6 N- c7 R! l: \, d6 X设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
* t3 v7 B# P9 Y; z6 G6 o
' |7 O3 P$ J/ S- a6 Z, V, G- A项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! S; W- C& ?. A3 a) L- i' ~: j6 ?, v) U* T9 ^/ E! @
微软站点安全推荐为2。+ a0 z, t' s+ [- U2 g' i
* W4 _1 h }4 R4 K
"TcpMaxConnectResponseRetransmissions"=dword:00000001) w* B: P9 s% n# N( V3 e
5 C! L( \# L, O& g/ k
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
3 I, y+ J) E; W. F' e5 ~0 m
! Y: m& x+ u% u( c0 ?, o"TcpMaxDataRetransmissions"=dword:00000003
! L3 b. h3 m' }' d, k6 f4 p6 E' v! W) ^0 j1 g
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。$ r: {- A( F3 l0 N7 m. h. b
. |; F6 Z: V4 j# B"TCPMaxPortsExhausted"=dword:00000005
7 X0 T7 Y% d* e- K
. K$ x# ~, N% k# c+ G5 L" Y禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的# }* ~1 T0 n i, R" @- r7 B3 \
6 N8 z+ m% b# R3 x. F源路由包,微软站点安全推荐为2。
/ X- A8 b3 u: f, A( n* W$ T; B$ L4 L' g) p( p" o
"DisableIPSourceRouting"=dword:0000002- v1 X/ q) a8 [: D
1 T: [6 R' W8 c
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
, w& ?- L0 x/ V2 |; ^2 R" A7 L% q. P, s
"TcpTimedWaitDelay"=dword:0000001e0 k$ W9 D' u$ L3 z! @/ `' k
9 s/ S. z" K, w5 M) F* F8.如何避免*mdb文件被下载?
7 l% {' P- g" f2 d, P8 Q' @: r8 z2 s. u3 f0 B
安装ms发布的urlscan工具,可以从根本上解决这个问题。! P) k* ]: E3 P0 G, J7 W
5 `5 t9 a: X' A" y$ N
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
$ N: u3 o& U( ?. K- `* h* o) ^8 L& Y; [, J
9.如何让iis的最小ntfs权限运行?
/ a/ k' l8 ^9 z7 ?% }6 ]2 m. ?9 p, a1 n3 p0 q0 w$ ^9 e! N7 C# E% p i
依次做下面的工作:8 m2 w! f, v, \' p4 U. y+ ^
- I: i; ~5 d: R# ]# m& r
a.选取整个硬盘:1 b# ?9 \# D( s# w6 X
5 a. ]9 A' N5 x
ystem:完全控制
% w/ M* L) j) r; {. g8 I6 `4 d6 ?7 X, a/ q; W& }! ?" h
administrator:完全控制8 {, X" L" s7 m4 Y5 y
) d8 Z' `, ?1 g7 [" p
(允许将来自父系的可继承性权限传播给对象)1 {% B. W6 [' m3 D. h* O" `$ k1 ^+ l
* s0 Z4 o* ?5 F" \" t1 J2 J/ b* P! z" K% J
.\program files\common files:* E- E& N J [5 ^' d+ \# v
7 |: }0 `. {8 severyone:读取及运行/ n. W( H3 r' V1 W
6 }$ J1 X/ b( N, w5 V. G. j
列出文件目录' I- d Q1 I0 G9 E5 Y' m
4 D q! W( H f读取
% c, p5 s: S- X( F$ p3 ]/ Z( w+ @. |0 x7 B1 x( n
(允许将来自父系的可继承性权限传播给对象)
; r4 i0 y3 s' A G( A( [/ ~6 W; a- O5 i$ R; ?5 G" R
c.\inetpub\wwwroot:( ~) ~: o. ~! E" j) I. D
5 b2 F7 y, N' C0 J( y, K; C& N
iusr_machine:读取及运行3 `8 M9 P2 f! Z& Z$ f6 U. y4 K- ^% W
, c. _7 }. m! N! D0 S
列出文件目录
4 \8 H9 ^. G+ [/ v8 S1 m- q0 V
读取
8 D8 c( }/ h6 i, n4 y3 i
$ ?6 B4 A4 `$ b/ E) R2 A9 O4 Z(允许将来自父系的可继承性权限传播给对象)
. C5 x3 W4 t0 N" i3 d$ S, d4 p# B4 u. Q& t A$ I- Y9 z3 E. m
e.\winnt\system32:
% e" B9 Z, l/ w( k
9 p" ~: i; N+ c! m选择除inetsrv和centsrv以外的所有目录,- d3 }" b0 k U7 q: Y
" B7 E. B' h6 P' Z
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。1 v6 k: h; E- ^5 c& d4 {
: R5 G0 m# V, p) Q2 w4 C3 H* Lf.\winnt:, F) C6 |* }1 V2 I
1 f; L* {$ @; K9 r/ U选择除了downloaded program files、help、iis temporary compressed files、
+ |& [$ d6 Q. v8 _& N l5 B! k) w( N$ @& t& B' P1 P* }0 J+ t
offline web pages、system32、tasks、temp、web以外的所有目录0 c( E, e" _0 O1 |0 U( [! }
: T' q" b0 U' U" e/ W去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
8 q) D! _4 n+ Z2 B0 o" Z. S+ t( u4 s/ }/ l7 {0 S
g.\winnt:
) X7 ]5 C1 q, N1 d( X. j# q+ X# A) e l* [3 `1 h
everyone:读取及运行 B3 z0 W4 Q8 \/ F
4 |$ A* R) F$ l% k- Z) c3 ]
列出文件目录$ O) z' J; S; `8 P
, V7 z0 S- l+ O3 F1 M9 w
读取(允许将来自父系的可继承性权限传播给对象)9 x5 X4 V$ Y" G
( U d+ C. }: Y. ~+ I8 e
h.\winnt\temp (允许访问数据库并显示在asp页面上)& P7 g8 |0 E! r. |+ ~
# H0 ? C8 W( k0 T' s
everyone:修改
! n5 A5 R5 Z4 o4 ~% R
5 ~2 x8 m; U4 x2 W1 M(允许将来自父系的可继承性权限传播给对象)
) D- |0 S7 V& q5 n/ k# }2 {/ l8 ]7 H9 X; u$ O: Y* K& d5 x3 Q( Q1 [. S
10.如何隐藏iis版本?
- m' e$ s# G3 ]( O7 U$ H# Z5 M4 s$ U! |" n+ @% q; y
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息1 Q. ^3 R' C5 {; B' [$ q( A2 p7 t
2 a: a) @5 A. o' {. @) n% g
iis存放IIS BANNER的所对应的dll文件如下:
$ L4 M# n; ~1 ~; ~+ T6 R; I
) l/ i2 c/ J0 z5 T3 W/ zWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL j, q: i, N2 u" k' s, N: x/ z
, g( n3 {: l* e2 x( N
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL ~8 O# H9 U1 |% i
8 f3 w2 ?) H: z( l- ?/ E
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL* r) c4 S6 Y" B2 y9 b* g4 H, @5 w
/ K8 A/ e# X: t. |, t
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
, X" \, i1 I0 t" b5 V' g5 _6 J/ t. V$ R) G! T
具体过程如下:
2 } X3 a+ w, J0 j- A8 D' m
$ p$ @: B' f, @5 \7 V! i% q7 Y1.停掉iis iisreset /stop* v5 q7 H; z9 r3 X$ {4 _7 s
2 @& s5 Q" N- {$ c6 h T2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件& k+ h- W4 `4 P, N! s
2 c6 l& O( ]- V+ W$ P, \- f, ]
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡