|
|
1.如何让asp脚本以system权限运行?8 T6 K1 J. o7 r7 G# m4 u4 c; x
: k! E& N) x, I7 o
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
% |4 ~# W- e2 f) |& Z
1 e% Q! @ v* U% s1 @, P$ D2.如何防止asp木马?
* f0 y5 O0 f9 j
& T8 y3 h+ Q) _' u. T基于FileSystemObject组件的asp木马
) H3 W% i: q) }( ^. c: k% n; M9 \0 \3 l9 F4 \9 X; H
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
! U! {7 w% q3 q" `* C, H2 j C# E( t6 @# ~: {* r
regsvr32 scrrun.dll /u /s //删除# J9 b2 Q N& g: V$ v
/ J3 V; i4 C M% O% b基于shell.application组件的asp木马 ], C) A5 n3 I7 C0 o* \+ ?8 J1 |; w
6 d& L4 u8 r4 s9 U7 z) R6 Zcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
. g- u3 Y7 m0 F; n! \( e" p
0 J; f$ o1 h: ^9 P' |0 P, \regsvr32 shell32.dll /u /s //删除
) w& B; W) L8 P0 x' B. w' z- {& A( K$ K( T3 [& I: F1 [1 o
3.如何加密asp文件?
) H: _9 M8 G9 H$ `. Q: P' e0 b# A2 q* |& J# ]( l$ _: m: v5 Z5 X
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
7 c7 A9 v- ^3 c3 F
5 l, I; _) F3 z! i安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
5 s+ l0 a# T/ @5 E* s2 ^
% H$ p6 x! A( f' ]" P# V. N运行screnc - l vbscript source.asp destination.asp
& V& ]5 h5 t1 Q, M: v# @& y% w
- m4 z3 B5 X) p& }& R( ?4 l4 O生成包含密文ASP脚本的新文件destination.asp" |2 E$ I2 |4 G, `$ m8 A
) x" h, e% z; z, C0 q# k用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了; G N& T" H. g) ^2 L/ X5 [; r
8 @ _! Y" _ @4 O
但无法加密中文。7 z; l9 q* r$ A& b. h3 H- z
. d8 u5 ?& M2 W. l/ k4.如何从IISLockdown中提取urlscan?( J2 o+ u( M2 o Z1 _8 u+ i
- t; d6 y0 ]* d M hiislockd.exe /q /c /t:c:\urlscan
, y( {; a$ c# r. n
B- n$ b$ m6 w& ` V5.如何防止Content-Location标头暴露了Web服务器的内部IP地址? P+ @7 ^. `# b! G4 E5 b
! Y" ]# j, `- g* I. `
执行
8 N: K( {& F8 G! E1 Z, |* |5 z1 U* K6 r# D' ^3 h
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
" j- V! Z+ k% J; \5 k1 o8 H
; s4 A$ k( V9 ]7 O4 q最后需要重新启动iis
! K3 q" D) k; y6 V( M/ N
- {; a [1 a c3 `" Z. y# A6.如何解决HTTP500内部错误?
1 m2 t0 I, C; c) g
& I, F/ ^" e% R: eiis http500内部错误大部分原因
4 y B: f, i* b9 y/ o; I1 |0 P/ P* t* c" O
主要是由于iwam账号的密码不同步造成的。
5 _4 J0 {* \. p, z: W. {: |
' b; `) c+ X- h" G) B r我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
) n; I; k( L& O" u! v: P+ s
3 B( D- e2 s# r9 f. I执行# r% N% `& h7 [- \3 \* P. x
+ e8 Q$ R/ W& v1 Y/ S5 n0 I$ B. gcscript c:\inetpub\adminscripts\synciwam.vbs -v" q& t2 H% B1 e j, q8 D( c |" b
. N- O j6 o# z; n
7.如何增强iis防御SYN Flood的能力?% E. [5 o, F4 L% e, I. w
0 b! l- v2 y& ~
Windows Registry Editor Version 5.00, f) k) ]$ l, h" @: }3 y( n/ S
+ f0 k; g% ]+ L) b. q[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
8 e& W5 l4 p* ~& |1 \: s6 ?
8 m* ]" M+ B/ a& B启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
0 v5 d2 a1 @+ t8 k
$ f. ?0 K3 T. f% t6 `% U& U" d" q安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值: F! j' e H. d1 O# p& q
6 s. ~. ^8 w% j5 D6 {2 w4 q设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。' y( i' a' n/ W) V% Y" k1 e
6 H0 D! |+ K/ l' E% D$ n"SynAttackProtect"=dword:000000026 V% [- {; m0 r4 X& I+ `' d R# \7 C
7 A' r" F! w1 }2 z! s" t- T! O# w
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
( m$ \* d1 l( b) S, |& [ S# J# j+ q6 P4 p- K4 {
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
& ^; a% p) V# u0 I0 h4 O
0 @1 X0 ~4 h' `. U5 N+ S; b9 @"TcpMaxHalfOpen"=dword:00000064
& R6 G" U# `7 u$ ]9 {) x/ H' L
" J4 ~" X2 F) f, n; W: H判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
& ]+ w4 ~0 M- C' Q; A
3 ` d$ [/ H+ D% I% A"TcpMaxHalfOpenRetried"=dword:00000050
0 @2 c3 I9 a6 ~8 Q7 ^2 ^
) X6 \! g+ h: k) f, ~8 p1 e设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
, C; U- R# J) o* J
u( Q0 i% A c) ~9 |项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
: m* b# L9 `' m7 F3 \! l' v7 q' B) U4 k2 m3 j6 X" y/ S; {
微软站点安全推荐为2。
5 Q5 y: ?5 W9 F# p q, H/ A7 Z9 F% j" M- e7 L/ S. ^( Y5 G
"TcpMaxConnectResponseRetransmissions"=dword:00000001
# @0 e# W) ~: B
# d' B" A) s* x0 A' ~$ g3 @. L/ ~设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。8 i: t( K% d7 D# [7 I; J& P( Y
# p& z, j' [6 I
"TcpMaxDataRetransmissions"=dword:00000003
0 j5 I) U5 o0 i3 p0 H* ?4 v0 m
. ]- K( X# J0 I& _4 T/ h0 Z设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
3 l% L: G0 W# L3 ?5 t* C" W, X
"TCPMaxPortsExhausted"=dword:00000005" f. u1 f- k# h1 u0 ]/ k' o
5 K l5 e; ^9 O
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
2 ?2 f0 C: K0 Z' }% ^7 P% j: n1 \' m
/ H1 t. k/ t; |源路由包,微软站点安全推荐为2。
8 G! J$ F2 v9 x& w M9 ~1 N3 r# U' X5 G% [9 B
"DisableIPSourceRouting"=dword:00000020 Y" Y+ r" f& w: y; H7 |
3 M; H, B0 T$ K5 S0 {3 _! }3 x, p( T限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。) I0 P: l, A5 V5 c% h+ b
, A# P" X* [- j"TcpTimedWaitDelay"=dword:0000001e1 ]$ }. B( q( f' V* M& [
4 ^& I5 c+ e3 B& d0 H; S! a: D
8.如何避免*mdb文件被下载?6 ]. g0 b* x+ H1 q& o' d
( V2 H+ v: k+ J' e- ?
安装ms发布的urlscan工具,可以从根本上解决这个问题。; e' B& X o' {) M
* X* R! O# `: p4 `8 X8 d$ ?" b1 T7 W同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
" [ C. L6 q4 V6 C' j( C O3 ~4 L4 J `+ b, e. b! r" N& p! m
9.如何让iis的最小ntfs权限运行?3 q" I6 f! ?1 }; V3 n2 p' u& z
+ c2 ]# _! }2 |) d2 d
依次做下面的工作:' h' s; N# m1 i
0 C- e# _9 n7 `
a.选取整个硬盘:
: k0 v2 d( V6 t$ M3 U, ~; Z+ \9 [4 A0 w
ystem:完全控制
3 U+ e4 h) m% T* J/ `3 u) E. ]1 x2 P. Y; \: D
administrator:完全控制
% o9 ^4 ~8 z& t5 Z1 Y ]; {
: l1 ~, b9 h1 G% D/ [(允许将来自父系的可继承性权限传播给对象); }5 |' c& [! v2 j2 G
8 R0 z/ `( M5 H# Y, n# K/ Y
.\program files\common files:
# T* v6 B6 [9 h9 v" `. o2 h# r0 X
everyone:读取及运行& L. b1 c u( F* R2 T+ I, b _
0 z/ l9 T. N# t& e列出文件目录
% y; s; q% f% a5 O* O# b
$ s% P; x( K0 ^) d0 s读取7 b! O+ ~: Z6 w$ T7 q
% j/ u6 ^6 o) m; A(允许将来自父系的可继承性权限传播给对象)
3 ~/ R9 v$ P# V7 G+ u; R D4 @+ b% y, u& E) n2 e" ]' a/ f+ U
c.\inetpub\wwwroot:
2 ? U% O4 ~; e1 N7 ~- U% z; u" v7 e+ [
iusr_machine:读取及运行
& ]6 c) M S7 y3 {% k" d+ f! _9 u( I3 Z/ z
列出文件目录# l2 _+ w5 U$ V t4 h
0 r4 y. L( R1 F) X3 Q! H
读取, o% x3 Q( u" R0 L% g
/ s1 S+ G" [9 k! P7 T& w
(允许将来自父系的可继承性权限传播给对象)
' N) L6 U! U$ w
, m' u6 |6 C* d7 Ce.\winnt\system32:
: Z& u' l4 A: Q) r+ Q `% ~1 w/ x4 k1 ?' \
选择除inetsrv和centsrv以外的所有目录,4 z) q' t: k5 P5 A5 p9 t
" I* z9 V+ @. m" @( x; j$ ^$ f6 G5 D去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" z9 k7 t' R$ ~/ Z0 R6 v# ^
" D W: _! ]6 Z5 b+ Lf.\winnt:$ t4 Z& q$ n1 z* }: \
& c9 h4 G! S# p5 X0 w9 R选择除了downloaded program files、help、iis temporary compressed files、8 K6 y- C, G% z
' _3 m# M, E! n' S6 Q8 [* F3 o& {1 Koffline web pages、system32、tasks、temp、web以外的所有目录$ x( A1 X7 J& C+ }$ F. a5 `
9 `8 T$ S# T0 `7 D$ ^; A
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。$ N6 U; U3 o [( \, v3 M% V) f3 R
* x6 H% d4 B' T$ g0 W$ b6 og.\winnt:4 }" K# K" W$ E
P: [% g- y' z$ A6 j; b5 n. k4 Ueveryone:读取及运行
8 j; x2 R. J, b7 A4 J
! D X+ |: o: F( Y4 S2 `/ Q列出文件目录' Q- X: L% }2 t1 k4 y" b' v5 Y
: m- H6 R; s( w; L! o' y ?& B3 b5 n
读取(允许将来自父系的可继承性权限传播给对象)
: t9 `/ x0 f5 d% y6 z P: f
/ Y% }4 i# Q# oh.\winnt\temp (允许访问数据库并显示在asp页面上)
* F) J. n! V/ e7 o* C
8 A Q4 O; D$ p. w$ v3 p1 R6 s1 T4 ieveryone:修改' f% e, `. p9 w' x8 _
% z8 c9 O- B5 X E5 v(允许将来自父系的可继承性权限传播给对象)
# u) x5 Z/ W, [# M& C/ M- A+ Y4 d1 y2 [- S0 }1 \
10.如何隐藏iis版本?
8 G" i2 X$ t# [& Q2 d/ I! K8 D5 D `5 ~; \; G
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 ~& s& j% W/ }( K7 F# u& y* F# y2 h1 A1 F7 F) t$ L
iis存放IIS BANNER的所对应的dll文件如下:1 ]3 ~, x& o- p2 X( ~
' c" }' F* }- e, G
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL- X! C; ?+ K7 Q
* B4 _$ {& q/ g8 V% QFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL9 z$ v- J) t" \' v: X
1 X" y/ d( J3 Z" d8 C$ }8 ~% L
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL$ V* Y$ i: q4 r
8 v) R% B/ W: `) u( }$ |; v/ R你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0. M; r w; G2 u9 h* Z$ R* Y
) \! N; s. G# O& ]5 @5 ]具体过程如下:4 s$ }" A% \' G7 S& e; W+ m
. d4 i. {3 ~+ e6 R# x1.停掉iis iisreset /stop3 s0 q* C. |, \
. C. l+ | p* X' {
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件6 _) @: J1 l2 _8 R) s9 P) p& Y8 z9 H5 _
5 Z) H4 _! G6 w$ j- ~
3.修改 |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-1 17:26:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡