|
|
1.如何让asp脚本以system权限运行?
; V( A3 b S$ k# M$ V
1 N5 q. o6 i2 M4 n' S' z7 N修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....$ p! h0 e1 w# a B+ Z
, |& p* H1 U% _0 Z$ m4 E2.如何防止asp木马?% L% D1 Q" a: [& F2 }
: k1 [$ x' @/ b* t0 |( _' y基于FileSystemObject组件的asp木马
2 v8 o$ n" W# {0 m. K7 q7 O* f+ K" D2 w
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用: @2 E: X! \6 @. M3 v6 U
# u: T/ l7 f2 r3 y: k
regsvr32 scrrun.dll /u /s //删除
% K4 o7 }/ ^1 g
$ L3 a" a1 |' K! I8 r基于shell.application组件的asp木马
* |6 X8 q& O- L6 i8 z0 d" U
% \% T2 ?/ o% H* {2 W0 ^# scacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
2 I k. e; e: o5 D4 P
$ l- l; j) J! @regsvr32 shell32.dll /u /s //删除. L. @# y1 Z* F0 |
& W0 ]) c d# U1 z& Q5 t
3.如何加密asp文件?/ o5 U- D( Z+ T7 h7 Z
; s' N. t' W% R' l: r
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
0 v1 H* C& p6 v0 Y& l8 t! o5 {2 l( |% W) w1 m$ c
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
0 k1 } n+ m& X" E2 o8 t. A2 {) L; `0 w
运行screnc - l vbscript source.asp destination.asp5 @1 Y) _. b2 e" Z6 p9 u- C) x
/ X/ ]' G/ P p" q, u4 u: o
生成包含密文ASP脚本的新文件destination.asp
2 B0 G3 f" K! V9 p% q6 K, U) {+ [& _) @# X
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
/ }# o9 n$ m0 K) n" K/ F
* e) @9 U* U6 J0 u( [; f但无法加密中文。
6 T( f6 }1 K: v5 o, s* H9 J! F0 N+ p- O9 [1 [$ b: t
4.如何从IISLockdown中提取urlscan?+ s6 d4 e, q0 n/ _7 Y
) W9 W/ [9 h- h! F6 Miislockd.exe /q /c /t:c:\urlscan
[' i7 t ~ j5 u0 _
, d0 P3 }0 K; ?1 P' G; O& f5.如何防止Content-Location标头暴露了Web服务器的内部IP地址?0 R4 `) o! k+ t$ r6 }5 }1 {5 J; [
X% w! _' y$ d) w- ]: ] {
执行
6 E2 _8 t9 Y$ P( S# E& C
) \$ w: w2 Z, Y/ O2 t3 z" Fcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
2 G# `4 T) V7 Z6 k: z/ L( b; z% p' [
4 C' R( T+ c F4 p6 X+ G2 m* Y最后需要重新启动iis
/ Q& |; W: S* {, q% H4 i) q- z2 `" s; H% j1 O
6.如何解决HTTP500内部错误?
1 Z. t0 V, n U6 q- Y' u: f5 }& O! y: u' m- q# [' f+ F3 y' n
iis http500内部错误大部分原因
( W: I; W% |9 ?# s1 z6 R& A6 K# H- }6 ~5 M6 t# E7 C
主要是由于iwam账号的密码不同步造成的。$ m8 ^% D% ], S) i" }/ O3 C! _6 [
0 G8 V% H7 F& e9 x' |) Q我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
6 J( W9 t+ k' o
+ a2 p, G1 h4 u! ~5 w执行 J- P! Y& P( |/ [5 b
+ T, T: D4 q U; x
cscript c:\inetpub\adminscripts\synciwam.vbs -v/ c/ e4 L* L b( w& }3 X+ z
- z6 O6 M2 X: \4 Z$ s7.如何增强iis防御SYN Flood的能力?
' @- G1 _9 S3 z/ @; l0 {, C: z
9 K% V, F- {/ i6 j5 V9 p4 u' E) jWindows Registry Editor Version 5.001 Q3 w4 @! _. U3 Z" y
; y& _5 h1 Z0 {5 s( Z- `[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
! {# ^* M/ O) u/ `; I. F# }2 c2 e, q6 X2 @3 D, R2 R8 c+ s7 A; C. A
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
1 {5 E' z% _- R. [3 K/ ?
2 K2 x. A' b( ~+ s安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值1 F. s. p' k. k; F. ?
* t' N3 F3 A- n: m/ [
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。$ ?, V5 I7 d ^$ m' L$ O
5 {* M r2 n: }2 g0 j& N2 T
"SynAttackProtect"=dword:00000002
3 L# k$ y" N; d) _3 J( Z
4 }, w6 E1 J* I+ l* \/ x0 o* J( P同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
/ f4 u% f/ q. P
; M* Z, ]! R& ^. Y: K+ |的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
. a( d5 G( i8 M9 |, @+ l
4 N, m% S1 d6 ^6 K7 l"TcpMaxHalfOpen"=dword:00000064
* R9 J, J9 U# [4 J& O( I, |7 W8 c0 Y. Q+ X' T4 e! v( c
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
2 o" U' I" u H2 r) n5 h+ _" C5 m& g5 t# r: @! o/ v) T8 C
"TcpMaxHalfOpenRetried"=dword:00000050! O0 j5 O+ v" }0 U: `8 L, Z" Y* Z: M) k
: m' r% u7 O/ n; w! i9 A9 q设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。* |! i. x. W$ O& f. f
% r( I2 E6 m& p$ i, \+ j/ y! C$ q
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
# \( k6 Z9 t8 l: y0 d- u' P S% ?- [5 n/ T' R1 W4 d! f: h: e
微软站点安全推荐为2。
& j. U6 E& q) A: w: `% j
) J: d( u8 S) t8 w' [+ {, X2 O( |8 P"TcpMaxConnectResponseRetransmissions"=dword:00000001& ^" \* e* E4 O* B5 `; f; ` n
) L+ G( C! m: c设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。; t' F& ^# w, M7 ^# l0 R
! n) o5 r9 @6 G/ o+ k+ c9 U3 m C"TcpMaxDataRetransmissions"=dword:00000003
2 x r+ P: o5 X3 i, o. ^/ w+ D8 _% g) _* p6 A7 N
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。# F7 h/ b( j! k0 o! j
( e/ s& w9 M4 S' b" B) m"TCPMaxPortsExhausted"=dword:00000005
2 T1 ]6 \+ E3 v
) f+ ]1 w8 O3 Q禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
# y6 f9 b/ L/ C) F2 A) m
! s9 f3 g+ K |4 D) _9 E源路由包,微软站点安全推荐为2。; x, v% b; g _) I; U( C& X
4 E2 K- @* F+ j5 l% F7 s
"DisableIPSourceRouting"=dword:0000002' _2 c. n) t H* B$ Z0 J& B
# q5 Z% K3 H T* q! [- r' {限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
% s: o* Q+ ~5 f3 a" D* c' I2 z3 e
" o" B. W( Q3 b ]"TcpTimedWaitDelay"=dword:0000001e; D/ {2 T2 A7 c9 E# t- o' C
i8 T# |: P$ w: b n8.如何避免*mdb文件被下载?. S0 s( }% Q5 C" I t
0 A4 ]: L) J& w9 |6 r安装ms发布的urlscan工具,可以从根本上解决这个问题。" a- I h% l1 ^5 ]% `; F9 z2 a( {
2 B) V% m* _# K; o" m2 p1 |+ L同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。, F+ s/ }* v1 g( R
& u/ w- n6 |/ ?5 W6 C1 {9.如何让iis的最小ntfs权限运行?
, w, g8 l; z- l, b6 q
7 ~; X* Z5 ]8 z/ P2 n2 ~依次做下面的工作:7 J: B& R# u( a9 @0 n. t
( i$ M( g* y+ C" q* p. _
a.选取整个硬盘:
6 n, }) I: f$ I1 |2 l% `; V# |5 j: z' ? K
ystem:完全控制
[6 K+ Y" r8 Q1 D( L+ `
6 p9 m7 d V0 S- Y' |( padministrator:完全控制) k6 |# U9 i$ {) B3 ]( N
& ]8 r1 C- a* i
(允许将来自父系的可继承性权限传播给对象)
% V+ D; N" s0 E% _6 f. D% F3 L4 s
6 I) F9 K+ Q! ]6 S* q* \# w% Q. `.\program files\common files:7 Q# e3 U @1 ~. _) V' c6 O) D
# c: h" r4 _& q; T- [9 h4 Neveryone:读取及运行
9 u( g) i M. |" w. Q: H6 t2 b/ p
) {( |( H+ A5 q+ T, b O列出文件目录7 Z: b# Y5 } o$ n- [' m9 d2 @
5 p/ j7 x5 a8 A- @6 r读取
: H' m* N7 L- u8 t/ F+ C
) K$ j5 s" c8 M- D4 I4 {( x7 `3 `! g(允许将来自父系的可继承性权限传播给对象)$ h( p g& e9 N( c! \& v9 j
* d! c' v- m8 r+ W9 J4 o
c.\inetpub\wwwroot:; _) S _2 g! z6 B& ~2 I* Y3 U5 E
* W4 j( `* T7 \: \
iusr_machine:读取及运行5 v5 V8 e; ]6 }& r% D- T4 j6 b# b
) G7 A7 Z' {* T8 ^/ b8 v1 z7 {列出文件目录% @5 q& P% [2 ]" B4 E
3 J: b5 G8 G, J. o. c u读取
) d0 z$ a; }4 n8 P6 }$ ]+ L' e4 I/ N8 n& {
(允许将来自父系的可继承性权限传播给对象)" K/ z$ ^% F2 g: k* s9 e0 Y6 z) a
j- O% y% X/ Y& l
e.\winnt\system32:$ N# S" V p8 C9 O9 W
6 { h( I" q% q- q. T- R: L: P选择除inetsrv和centsrv以外的所有目录,
, `6 G4 M# }2 P! s& Z4 C& {8 P; q) ~4 C- @, U4 ?
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 d; ~3 r& k3 P8 Z
! o' s& T% j: l# E8 If.\winnt:2 F) }/ P4 {8 c. y6 S& {+ a
! P2 b( }1 T) h$ j1 y
选择除了downloaded program files、help、iis temporary compressed files、$ G) {8 u8 o1 L- a
2 o+ S5 H. t5 {0 o; p& |2 hoffline web pages、system32、tasks、temp、web以外的所有目录
! L( V: e) [* }: \# @) u1 I" L! c' f- x
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。8 ?$ @) X& F+ o
" \8 \: H' F( O) R, y2 @* F( [g.\winnt:: W( c" k' e( W! R. P
) z0 f( m: J& y1 F" c7 feveryone:读取及运行' K( k9 w7 j; s" U2 j
5 \( S( v+ T$ d
列出文件目录( Q$ b. o) |! K0 p) W. t3 l& ]
) E3 z7 E. z- g4 `读取(允许将来自父系的可继承性权限传播给对象)
8 g8 P& r, V7 w8 ~7 v
; _5 X& I9 _3 W3 B$ i4 ^7 Uh.\winnt\temp (允许访问数据库并显示在asp页面上)2 e$ D `# Y; f& E: |
2 |' ?$ d1 u5 y
everyone:修改
! r' r( E7 D; z. K8 |' ^' P0 x' b7 a! m
(允许将来自父系的可继承性权限传播给对象)
E- |: X7 j% f- @& D( ^$ L2 ~1 H3 S4 ~" ]! h
10.如何隐藏iis版本?
, T& e$ M( p! Q. S
" R) R: w: W2 H/ W# r一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息$ |0 m% w3 _5 W0 C R
[+ k, E8 P+ `- z! [# D
iis存放IIS BANNER的所对应的dll文件如下:
/ y4 B& S: _# x1 T. c# M4 V, D/ g( g) P6 L7 K
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL# h0 {4 p$ Z" w+ w! y$ }3 c
: n0 E6 x4 X6 _' k3 \, E6 u
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
4 q8 C! L2 I% |! \" i3 s( ^0 B ^* q8 M3 |, ^
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
% V0 b g, Y$ d B& f3 ^ f* n/ J2 R8 q+ M
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
# N5 j0 L& v) O
# p' o& W; P) `具体过程如下:
2 V/ U! x7 c2 r3 l" v7 j+ J) R
. m8 b3 q; X7 V8 Y8 ~1.停掉iis iisreset /stop* m2 o& p# u: s/ O2 L3 m
) l) }; ?- p& p {# s2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
# ~0 g6 k( [, m: k, K" o) q! l, v, |; T9 r: a* G) H4 s
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡