TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
0 I1 u$ H" b; q7 g7 G: C/ H, x
9 I6 ~8 B- N' f9 |9 F) o% X" u- E修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....' O6 o+ k8 B3 o4 g: S
* E/ Q! h) l( C [9 a0 ?2.如何防止asp木马?
7 M% J: [& T/ y+ g8 T: D3 ]% J( D& Y
( Y2 d$ q- z( h, Y基于FileSystemObject组件的asp木马
5 f3 k* y1 i- [2 P1 V" l0 `& K+ F! X3 m, ]$ Z; @1 W+ y% ^1 [( M
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
5 g, c6 S: n1 Z& u
0 i; F( F$ w8 V0 U+ O# B, Xregsvr32 scrrun.dll /u /s //删除) M" H# M' a: E5 e+ s0 v. d
K4 [4 H* F. P- z5 w, D# P
基于shell.application组件的asp木马' l) a0 f0 t6 X8 X9 L$ ?6 W6 i
1 E, M: k7 S9 B k
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
7 k# T6 n; ]# q& q$ _- ~
- r" ]* Z3 {+ k- M: ?+ S- Aregsvr32 shell32.dll /u /s //删除
4 x& n9 B: R/ U7 ^4 m% j, l1 t% T6 N( @ F
3.如何加密asp文件?
0 a" r/ S9 g2 A' R
( Z" D, N3 V" {0 p/ t从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。. Q3 C/ {9 ^: l3 Q) F* T( j, _
3 G I& @1 k: N0 G" T$ G: l5 V( g3 \
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。& ~! y& v2 d" o( v1 W
9 i. [2 s& e( i$ M5 X" s
运行screnc - l vbscript source.asp destination.asp u9 p! f4 e( v* E! X) P0 a! ^0 T/ U
* O8 ~4 X9 u4 ^* d
生成包含密文ASP脚本的新文件destination.asp( T2 ]; Y2 t* M" [
$ U! w m7 o: E% W) Y) j0 |: Y% h用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了& K; i w, o% G; Y E$ U2 ~+ q
" G W) L4 [; ?- q但无法加密中文。
$ H# X$ `# X7 s3 U( s; i& V) X2 z- ?
2 v3 t- e& d9 \! s* t4.如何从IISLockdown中提取urlscan?
) D- r" ~! m! M7 ]6 K# c1 v$ j- C' E0 v' C" X1 u# h" r; ?2 C; Z1 x9 N
iislockd.exe /q /c /t:c:\urlscan. w; S% s) H/ _: L
. J/ W1 a# f4 E: D* i5.如何防止Content-Location标头暴露了web服务器的内部IP地址?( o2 F5 b1 V6 ~! W
3 `4 J0 ? H- Z执行/ r2 F* k) p; Y
* F2 s8 v l$ S" E6 A2 u. Y
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
5 E# o7 _3 t8 b
# \% r1 G0 n; j+ ~最后需要重新启动iis) B0 D9 R( }; R
% L: V A' a- i5 V6.如何解决HTTP500内部错误?
1 c, r1 ^1 [* {8 ]
8 I' |) r2 c6 U/ c& @3 R- {iis http500内部错误大部分原因, Q. S! b0 ?/ T
/ O$ c. u+ M+ h/ o& f8 y
主要是由于iwam账号的密码不同步造成的。
- c+ _% v$ |) T! k' ]
. \1 |" c* ~' H, b3 F, ^我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
7 f* G& f+ k6 p! d# {6 Q! \8 V+ s3 e E) r3 {( K' Y# X
执行
7 s2 N- M/ p: ]0 L+ ^) B
8 s; J- @/ ^0 B" z) Qcscript c:\inetpub\adminscripts\synciwam.vbs -v
, t* H( ]# X) G) b; A0 Q" `
1 l- L: R5 ^. e! E( ?7.如何增强iis防御SYN Flood的能力?8 \. R! U) r% x) ]7 a4 U y3 a# @9 v
' K" E% d$ d' Z' l1 G8 ]3 R4 O+ F, TWindows Registry Editor Version 5.00$ x9 t$ _0 \, ^* [" ?
8 P3 N; `1 D0 ~) ]6 V6 a1 h[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]1 ]' U( i( A4 W+ }- I# W' w9 _
3 h' j4 s0 G6 K9 {, n; I7 v'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
. B% i/ _1 U: z0 b! L; P2 k
, a" ` A* Y: Z# Z# K0 f/ g. G'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
& ^% i1 t _$ M8 w5 v$ W& q
( j8 F0 }. p1 ~2 t3 b'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
8 ~( t* L+ N. ?# Z" y
. ^* g# P+ J9 H"SynAttackProtect"=dword:00000002
) {: g* M% g f
& ]; V n3 B' l8 ^/ j5 M# B+ M'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态' r' v: c; `- L9 x
9 d4 a; d- X% J9 c ^* m
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。" e" Q' A+ ~1 ?: F. J% H* k
2 O0 Z) ~* F* A* x8 C8 i8 q, a) ~
"TcpMaxHalfOpen"=dword:000000649 r) F$ ^# ^& s# M* _
( V) b8 h4 W, M& }5 ~4 l" b
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。2 ~- J6 k/ g+ y% M$ Z5 r+ c
5 t ^8 [! T! y* q( e! u"TcpMaxHalfOpenRetried"=dword:000000508 K" N' r9 O7 O. O% a* Z; G
- {: i( @& c- Q7 z7 a, O'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。' L) R" ?+ g* S, A8 I2 K
) t% d1 P! o/ X+ l, `3 Y2 b5 W- z'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。9 p# w3 a# A/ q& V' f
! y% p5 }; \" `! C' I( u+ p2 f
'微软站点安全推荐为2。
+ L$ l% J* X9 \5 L1 w0 \6 a* E# W
/ g) ]9 ^* w% e8 U"TcpMaxConnectResponseRetransmissions"=dword:000000010 Q2 ]0 o3 T4 G" N* n' B' R6 y
( T- o% N5 `. z4 i3 O/ c
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
& G8 K2 \6 t# n) A
3 a9 p2 n4 N8 C1 p3 M"TcpMaxDataRetransmissions"=dword:00000003
" u8 s" T, I) m. P) y) n7 u6 Z7 c7 [' E% ?3 r
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。& T* V# o, I; n( s& X
$ N! z. \! l/ B9 ]6 _4 |% w: ?
"TCPMaxPortsExhausted"=dword:00000005
+ P `( r7 F( V/ y4 a9 Y! B/ @, D I9 ^* D
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的; V8 S( G5 i$ C, Q+ V! @: c
8 I1 z9 L; ~7 n6 X' ]'源路由包,微软站点安全推荐为2。
% Z' L7 W1 S& G& ~3 `( _+ [0 w# x/ D) j$ H! H4 i
"DisableIPSourceRouting"=dword:0000002, [: d- {( K! p: V# ?
$ x5 \& i1 v6 [
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
$ \: W% ?" z- b' T2 g
1 Q3 [+ l# C/ W7 S- A6 ~"TcpTimedWaitDelay"=dword:0000001e
" o/ f/ D- f& t9 p% i* v2 c& ~- @, E8 h h! r2 F
8.如何避免*mdb文件被下载?
7 @6 ~9 c) ~* o7 v, @0 Z$ M5 s5 W O& w
! Y* u, Y6 w3 J# j7 |2 w安装ms发布的urlscan工具,可以从根本上解决这个问题。
6 n9 q6 k% A# Q/ f, M
: X: \5 s5 x, j& S4 T同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
2 n: l4 v$ f. ]
7 \3 h( b$ s* @# y% d8 U9.如何让iis的最小ntfs权限运行?
3 m6 o% |) w8 N( t1 r1 h+ \
' V" H6 ` C# V1 a7 H依次做下面的工作:
% \, c/ X" J/ P, f
, E7 V G0 p* ?a.选取整个硬盘:% u, `1 s% l1 g" P- M
* X& H! k2 E- r( a
system:完全控制
% @6 B( d- C' \* m; u: X6 B- ?0 D, A1 P) O: B3 u
administrator:完全控制
9 n" K( G8 J) d; N0 R5 k/ K5 O$ e( o
(允许将来自父系的可继承性权限传播给对象)" d* r5 O; l( C
' b* @3 }/ O* h% a- M$ Jb.\program files\common files:8 I+ I7 w; X/ B6 f
( G. f1 B" G m( y) O: jeveryone:读取及运行
$ b/ i8 A1 n, R2 i! Y( S: l: ?
: t7 B" D5 E& m' V* t列出文件目录% u% p6 u8 }% W
5 L U5 a$ a2 J4 r9 V读取
6 K) `- z! p$ m- e/ R, J" J3 x& E8 ?$ _, K% V
(允许将来自父系的可继承性权限传播给对象)
6 |* y- d; {! \- \6 }
6 }8 K1 P3 r* G1 l9 ^c.\inetpub\wwwroot:0 K! b* ^. Y" L$ k: G
7 y* X2 o( K) X( b
iusr_machine:读取及运行4 u$ z, u( ?6 a9 k
% s7 v |5 B: r列出文件目录4 R# n0 r- _7 H! Q, f2 w
4 S4 k8 Y8 K# V8 S3 u. r" y6 q* G
读取1 e4 a$ |: X7 @# S" {& d- ~0 G( D
8 p1 O/ E& R! ~* G" T(允许将来自父系的可继承性权限传播给对象)
* U: J6 v" {8 Q8 b" a3 m0 R! P) k5 z9 Q, L
e.\winnt\system32:, a/ b$ t; V; X8 X/ j e
+ R- i7 I& c) P1 {( D9 s3 \/ \选择除inetsrv和centsrv以外的所有目录,
5 `7 ?$ U# A/ N4 j6 S$ w( B7 h* G! G* Z' n2 x, n4 H# Y: ?
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。0 c6 F) D& A* H% m, g/ S) ?
: Z0 T6 h) y6 W! x* m/ ]
f.\winnt:" u" g' i& t9 ^; N6 ?6 B P
7 |& Q G/ o4 t8 x! S8 c" V! P选择除了downloaded program files、help、iis temporary compressed files、3 q" i; \$ O, _" D" T2 c9 j1 w. n
% C I- V9 a' F# l) R7 s. ~
offline web pages、system32、tasks、temp、web以外的所有目录
, B: y; T) b% d6 L! B: u; u9 s+ g' D& s* [6 \/ N9 L3 v- W9 b
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。+ e& D7 y. `- b1 p# ?. L9 R8 s2 A
% N4 F" Y, ?0 M% R2 p; p
g.\winnt:
G6 ]+ ~! ?$ u0 J, J, W
4 V6 L4 U0 x/ Yeveryone:读取及运行
6 x5 e; Y6 f v5 o( b: ~/ K0 p' ^5 v+ H
列出文件目录* A% x# d/ ? o: p7 D
0 i, j$ u' _) v* n- c
读取5 V2 n% s- N" G
/ p) E* A! U5 R8 i0 y(允许将来自父系的可继承性权限传播给对象)4 O: _$ R, ?! o9 U5 t
6 H! @! T4 U5 s# q& y
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
% |. k: T7 a4 M4 K- y6 H# v
/ ?, k( _7 j O2 I+ z4 }everyone:修改
. H/ i: \) j2 ?$ I( Y$ p
5 G1 k" k5 t& w. ?- h, F3 \(允许将来自父系的可继承性权限传播给对象)
5 q) n4 n8 J" ?9 Y9 q" q y' O" ~- o6 r
10.如何隐藏iis版本?
5 v5 W' J) \* c
/ n/ S4 h9 d+ @1 r" T一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息7 [- l7 m8 N: L2 E, h& F+ G
0 [# Q8 l& W/ |0 M# ]& f7 M9 a
iis存放IIS BANNER的所对应的dll文件如下:
4 ]' n1 O1 p. A3 B7 b. r
4 E- g9 A/ Q8 N" }" u) g: [WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
; u `2 W& e, d$ ~/ A
0 G" Y/ p F" C6 J! s. dFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
6 o U+ x! H7 A+ a& `* t m, a4 [" z
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
+ x' m* Q- X* |1 Z' R! \2 k/ Z# N4 O% ~/ v, O2 ^1 s0 w- l
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0) j9 A2 q: E; S6 l* P3 r( F! E
+ A2 W! C+ {1 n0 w8 o- [
具体过程如下:5 U$ d- b. h" u7 m) g
* D. s$ P5 X$ S5 V8 D1.停掉iis iisreset /stop5 W5 d7 b2 z/ R* g6 T8 U
8 n" I4 h4 Q* [& p2 D5 w2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡