TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
: y. ]0 M @7 v+ C
3 t" y- ~0 b+ s/ I, V修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....0 R7 R0 A% a; |4 L- L2 t3 {3 W' }
( R4 x- [% B& ^- S9 K2.如何防止asp木马?
$ a( v$ l( I" ~4 U& t+ A: B/ d/ U8 Q
基于FileSystemObject组件的asp木马/ G5 L. _- [1 Q* V0 [4 Z- ^
0 @ a$ [1 H0 K/ E+ N1 c
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
" M) J* Y A5 B1 g* Z; p0 z5 `6 D- `3 B) `7 k6 ~, Q) h% }! }
regsvr32 scrrun.dll /u /s //删除$ l& y. f- Q6 {! {* @* B7 `
7 m% q! J' M; M7 f基于shell.application组件的asp木马
0 ]& A$ L( Z# O H l' v1 y* J$ A! }) p
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用! t: W' R0 D: c" n! n, K* u
& f: @* Q& ]4 r2 h1 n( }/ Z6 Z. }8 jregsvr32 shell32.dll /u /s //删除
6 M6 p) O* V0 Y8 T
6 @/ Z. ]* ?$ p" H( Z+ t3.如何加密asp文件?
+ c5 ?% k; H; z2 p2 b
X8 _) `& b8 |& l2 q从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ a- k6 m# V; ], K9 c% F% _9 a( l Z
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。' g ?8 z. h1 g4 Z1 x/ H4 R
: T2 M/ y9 A9 v, l8 d2 e运行screnc - l vbscript source.asp destination.asp
a) G9 W+ ?# s4 G" x7 f' D7 R% K! L' e9 U1 J
生成包含密文ASP脚本的新文件destination.asp
% H( K z7 k H% s
1 N# H" b4 X4 n3 u& U$ Z. {! D; M用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
7 {! F1 ^2 p) Y2 g4 I0 Q) U7 X! \' m; x9 \: _
但无法加密中文。
! ?1 \2 A& n+ ~7 w" M' j! L& O- K4 q
4.如何从IISLockdown中提取urlscan?# b7 O: R& q8 c" X D& G( y
6 F& K9 Z/ b7 Niislockd.exe /q /c /t:c:\urlscan1 w* N' i# ~2 }8 L) m
& h' U3 Y2 d! ?7 _6 j5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
2 z; ~$ I( l+ w- O0 F, H# Y \+ @8 F2 D! g- e3 Y
执行
4 ?" R, E8 ^# x, T# d- @
- _. r. S# e- e( R) B1 bcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
/ F# s" I' x+ x* K. a
$ z8 q, M( l/ o2 D0 w最后需要重新启动iis \! F- m& P/ K/ `
- E/ L) o9 r8 F/ [- T1 U6.如何解决HTTP500内部错误?
! N2 O1 z: [8 I2 N9 L6 E7 f0 k, N" R/ D
iis http500内部错误大部分原因
/ S; Q) K) s* C, x; n8 m
H- F# B" o* S$ Y( G主要是由于iwam账号的密码不同步造成的。
& @; M. A6 _" L( i2 y( U. p( J: s" A1 E$ S5 b$ \: E% r. ?
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。; V8 ^; d' X, q' m. Q. }- |
$ d+ m9 `: i8 u* @) N" c
执行
6 ~# T* ^0 ~: A/ O
' f' g% h9 k$ Lcscript c:\inetpub\adminscripts\synciwam.vbs -v" r# X& |" V5 ]4 U
8 _/ ?9 j5 k: W; x# |
7.如何增强iis防御SYN Flood的能力?
, K2 y3 F# l ] Z
/ t: q* w X/ b- Z3 IWindows Registry Editor Version 5.006 L& y' c) q; ]6 B% g4 ~
- G' _5 n. r T9 R$ e3 z! z4 s[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]) D0 r1 n9 m- P0 z1 y' w$ [
4 Z9 n8 \! u3 B6 @# Q
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后. P4 ~+ `1 X7 T( t4 L" s
2 ]/ n2 f( S! ~% B2 u'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
- h0 ^% N7 t4 k5 l8 S% P
5 T X/ m* }! G5 ['设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。- v" e" o0 O0 R) k! D# P1 t6 f
" B2 u" g+ M7 M+ X0 D
"SynAttackProtect"=dword:00000002
. Z! U7 r1 @$ `: B; B: L+ ?8 }. M% k
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态8 m3 {0 E. s5 F% F
3 Z! c1 n5 a9 B'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
: P! z5 X# L& e/ u4 R- R" l) G# t1 L5 }$ x
"TcpMaxHalfOpen"=dword:00000064
5 r( _& K" g. O3 a |- z- n% h$ p" _& r3 c& {$ v
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。4 }) N' s) o7 g7 }
/ K# Y# g6 L6 Z, b: N: x. @"TcpMaxHalfOpenRetried"=dword:000000506 k9 c0 j$ C3 S& {; Y$ w5 s
1 M; n, w* C2 K: X; a! C/ L! z
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。$ H; t4 X. H. i2 ~4 D; [( ?. R
' a/ o1 s9 d1 A+ z3 @1 G- H; h'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
' @" ^9 n2 L$ Z" ~7 H$ H( @% }
) e/ h6 Z; P) W; x8 b'微软站点安全推荐为2。7 }1 ~ u5 h8 [, \
+ y8 n, M0 \' t* d"TcpMaxConnectResponseRetransmissions"=dword:000000010 U( U7 W+ [# _- {) B5 O8 h
- q4 E* C6 R, ^# |& |
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
1 }6 u4 u9 K t- m V3 i# J, T' }! a( h$ x, O _1 }3 w8 j
"TcpMaxDataRetransmissions"=dword:00000003# h( z" x M- R% h
6 `, g% B d0 D3 Z$ n
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
2 s9 t! w. }3 r5 D8 @( S& P, K7 ?/ q( u- z: g7 o! u1 h* n; [9 J/ o
"TCPMaxPortsExhausted"=dword:00000005
/ n; u5 ^4 N' C1 g6 e) ?
/ w) R% |' d0 }8 C+ B'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
- p$ `; S/ m+ N( b) |8 S# [$ }( Z4 k- \9 g: h# W6 W
'源路由包,微软站点安全推荐为2。
+ o- @" e0 h" h& ^7 m: U1 R, q7 t" Y: D( _* M0 Q: V/ W- V
"DisableIPSourceRouting"=dword:0000002
* }- _5 j# s$ {& P9 n7 Q; Z# \: f% @8 f5 Z
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
6 x/ W. S+ j! I7 y4 r: q. R1 l( t: J1 K* y6 }% F+ j2 D
"TcpTimedWaitDelay"=dword:0000001e
( Z5 j# u% b8 V
6 I$ D' j0 m: t" O4 {# {6 i* A# l8.如何避免*mdb文件被下载?
$ S% }, v& O9 b" o6 w4 z3 `; {: v9 n% z
安装ms发布的urlscan工具,可以从根本上解决这个问题。
: B( G/ h2 H4 D
7 A: t! l- r) i4 H同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。0 q4 L- o* O4 L+ l C& O
8 E' n' H8 d1 s) \: P, X
9.如何让iis的最小ntfs权限运行?! s I( I2 {! H
! O5 |- a) F/ s8 C0 b# I依次做下面的工作:
( u7 t/ D0 b$ c5 V: u8 v$ X9 X
5 T* F& e2 h6 S$ {' ia.选取整个硬盘:5 q V$ C; c2 {+ n1 ?
2 ^+ y3 K9 h: E4 H; d: Jsystem:完全控制
) V$ C2 W+ r1 R( D
5 a4 v7 U6 x3 g1 h# n# O/ X! `; dadministrator:完全控制5 o" e5 E% P4 V& `5 ]7 y
6 M$ a- }- t- Q# \
(允许将来自父系的可继承性权限传播给对象)
0 P: l% u. H; _
* Q+ z R$ b- s" z: Y* F3 n0 Cb.\program files\common files:
4 J6 m, i: B9 T; n1 A# M
" [7 N5 Z% |3 Xeveryone:读取及运行( u) T2 ?% b2 Z6 W0 A: f# \
7 I8 B# @9 P/ v7 P5 r+ c/ @, d. @列出文件目录3 u( I2 E- b9 w3 G, `
" t2 u0 T* C1 _
读取9 M9 x% y9 L+ _0 r6 g. K1 D5 N' @3 J
/ p) z4 r' P! m(允许将来自父系的可继承性权限传播给对象)
" w+ C% \/ h( C0 y, V
9 f: Q+ O9 H& v0 V G! Gc.\inetpub\wwwroot:
. P _2 K, {; ~) E7 ^. B0 c: f4 f) f
iusr_machine:读取及运行
) k1 S/ U# o6 p! a( r3 |$ f/ P5 S3 v* x" s6 q; U( i0 e P
列出文件目录
7 f: m& p2 f4 v2 s, p8 O9 S# \: V; X6 D
读取3 {& I D/ y# @/ {& O' E+ T/ f
$ {% L( V9 }1 ~
(允许将来自父系的可继承性权限传播给对象)
/ A, e+ q" p$ A! {- O* R1 R, k y2 H& `, a* @3 O6 _# i: O
e.\winnt\system32:8 X+ P# t+ ?( y# h, a
4 m7 D2 F/ `/ X+ p$ q) E& s' b选择除inetsrv和centsrv以外的所有目录,
9 d* T+ W1 W1 C; k8 ~6 K, A8 j& ]; ^) Z1 ]% d3 e
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 a) V8 T( t7 i/ ]& `9 `
; r' d3 |$ u" @, E0 e; @f.\winnt:0 f# ]& G8 @% n' b+ z x+ W
1 x, y: q; d0 f2 O2 U' x% x选择除了downloaded program files、help、iis temporary compressed files、
2 n$ h" w' B0 |$ B' Q& p6 e: p8 g% e9 N8 s' Q$ k' Q, W8 k
offline web pages、system32、tasks、temp、web以外的所有目录- V5 Y: g. s1 t% h
$ l" G; f9 a) m
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& M, s. q+ S0 s w' \
, Z0 w r) z: ]- cg.\winnt:1 {4 v& q2 @% W4 ?; x+ l6 f0 w6 T
1 J: ?# q: H, M- V% C* T# y
everyone:读取及运行
- Y( v- H' R1 M: G4 g) [8 ~
5 O7 A, | e! W列出文件目录
; i& A! Z5 [' @ W m8 S! l* h
7 e) N0 v0 s: C# r9 g1 r$ o: c" e4 p读取1 n0 x4 d6 A# V+ Z' M* @1 S: I
/ m3 [' I$ Q9 h' b9 R(允许将来自父系的可继承性权限传播给对象)% S2 Z# b* K; L7 R
, | h* }) { g- B! ^% t
h.\winnt\temp:(允许访问数据库并显示在asp页面上)# \& w* i& t' K9 S/ j4 ?
5 @9 p% A R( W" q' A+ h
everyone:修改7 i* r: V+ R4 n0 p2 I
' K. {5 i+ F! v6 F( ]# K
(允许将来自父系的可继承性权限传播给对象)( u1 p: Q/ Q5 r7 v7 D' d! B5 p% z$ ^
& I" e! ?3 m& O% ^! V10.如何隐藏iis版本?
8 _% ?% p/ m# ?4 [ b$ J$ G9 Z% K5 y4 ?5 E* x- \
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息0 G7 R1 w4 l: I) }; Y
& @. _8 @0 l9 v$ {$ `. V6 l9 d' liis存放IIS BANNER的所对应的dll文件如下:1 y2 m; G6 ]8 ]6 S% P9 K. A6 \
W, s5 r9 u# c
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL, l, ~: n! d7 j z+ V2 S
5 _- x5 d/ d5 s, L6 P) x$ \) zFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
" M, I% Z( q- R" o$ [& m2 d% u4 N* j/ H; Q# o
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
y& i* k e' ]: ~2 ^% r6 }/ d0 {# _) A4 x% ^2 c
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.05 ^+ {$ J0 D' g3 q
% m+ s/ M2 N. J) r T4 F" E3 S
具体过程如下:
( R* g! d6 u- ^# D8 W( i5 C' e1 s. Q& S _. ^. u- U7 P
1.停掉iis iisreset /stop
: D# m4 h6 c3 o3 m% ]1 h) F
5 T3 w- m3 w/ t5 S2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡