TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
' c" q+ q) f3 S
O4 a3 q9 R! u2 f/ k: v" ^修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....; V2 a: E R& N6 u" e: p
' x1 W2 a( A# e! G
2.如何防止asp木马?6 k% _# _: A1 {/ U, M8 H$ Z# B5 J
5 G, {2 I4 M3 \$ A
基于FileSystemObject组件的asp木马" M5 H/ A1 E9 x
8 C0 \# L- }) ~0 l# t0 D% Hcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
- c. e$ ^: J$ I# l8 ~* i+ h5 H
/ v4 y1 ?, u; z5 L* @0 Z- Dregsvr32 scrrun.dll /u /s //删除
. W* H$ C* b: k
, M4 O: w6 l2 ?' g基于shell.application组件的asp木马$ a% N: p4 w( l+ O+ L3 s
, H/ w- `. T5 {% H; u. `* N! @; m, ecacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用9 ?/ Q A; H: R. {. S D8 F
, ? ]6 }% B, @7 f. f( i
regsvr32 shell32.dll /u /s //删除9 R6 ~0 \7 q; E1 B4 y) @. W U
, ]5 l B) o: e5 x( q5 v
3.如何加密asp文件?+ f* S0 z! k" m/ A0 I9 R
$ B& p1 b4 U0 D" z, s" {5 W
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
) D: x; h# c- @2 U+ I
( G; e0 ^) m6 a8 n* s安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
3 C7 X! K1 o( X1 P! E0 L
: M: J* [- t; m* H, r, e+ w运行screnc - l vbscript source.asp destination.asp8 C6 o" Y* K" P" h" h, T
4 I+ J! P8 T$ v& ]7 d
生成包含密文ASP脚本的新文件destination.asp3 A3 D5 |9 u7 D- F7 Y9 Y
$ ]8 b, X) C, p$ `; W7 O r
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
' Y2 r$ R2 J2 J" P- G& N) d7 _ ~' j0 L$ [# Z- x/ O* p
但无法加密中文。
$ O4 ~+ {3 Z3 P5 t9 k: @3 ]
! ^4 t U$ a! p' g4.如何从IISLockdown中提取urlscan?# N. ^- t1 q9 j8 h. a- u6 h
. Z; J- O0 ?4 S/ H
iislockd.exe /q /c /t:c:\urlscan: G4 j8 p Y; g9 P& U
9 O, f. W( b8 S; M9 [) w5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
/ Q, s; Y! M7 ~0 H$ P( g5 p; h/ s- r% ~
执行$ g. d8 ]5 P0 D% h
! g% D0 Y' O8 J9 l
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True8 c/ K% A6 c* {/ v1 v
, M' W+ q ?: e+ B2 g ]0 V0 W# d最后需要重新启动iis, y- F7 d( j4 P- y7 H
( L6 }" I( |0 Q) U$ |7 e, y2 p& z6 v6.如何解决HTTP500内部错误?
I+ \/ K0 A+ t
% o1 ?# A: r A% r! M5 jiis http500内部错误大部分原因+ O3 r+ f: a) t4 W9 d$ n
! `$ e6 }% Q r$ d主要是由于iwam账号的密码不同步造成的。
; }' t: K* k. _1 D, A7 p6 G/ V
/ O' R* S( j6 q我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
8 {' o; l4 D# K1 J3 U
- q. l$ r. G, O5 U- u执行
7 D# {& W8 K f/ d8 j$ m! j' M
9 O6 U; ^) {$ k- L8 }5 S! |8 E* Icscript c:\inetpub\adminscripts\synciwam.vbs -v
" }) J ~: n+ A0 b& N O! M' h5 R, h! ]1 J5 _! i$ |
7.如何增强iis防御SYN Flood的能力?7 O4 p1 u1 ?/ ^1 J& i+ w D/ Z
( f! `" e. x! z; n5 kWindows Registry Editor Version 5.00
2 H) _( w y6 F8 _& K C
% [: Q& j0 s( `- A3 r[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]& B$ |5 H: D3 |6 K
+ |6 P$ r# }2 |3 v, }/ j0 r
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后7 _4 p' V4 k8 H. {! n) Z
3 U& N$ l S0 x2 O( l3 d'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值( ~! w. `: a+ I, c( I2 C' F9 t" |; n: g
/ `1 D+ k9 Y/ B/ m; q
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
$ n, x- `0 o, [: W
6 f" w! N, e" D- v/ e0 e! H* o"SynAttackProtect"=dword:00000002
- ~' N9 E; ?- Z; k6 r
% r5 J8 @2 c B' Z( c) o2 T'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态 S$ p+ J4 \, _# S. Y
7 c+ w8 H2 s& Z
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
% R' L1 T' v, v! s% Q( Q3 S
) k0 N, z9 W. e* V Y8 T"TcpMaxHalfOpen"=dword:00000064
# W. X; N/ U$ R( K1 r6 T# T1 C8 l. t( o; |6 C8 |
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。6 J. M9 F) I9 f
0 j2 O, p# n( s; K"TcpMaxHalfOpenRetried"=dword:000000508 C I3 g- v/ Z" |. }8 Z2 y
9 ^4 U1 a1 X( W5 \3 x'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
2 F. @ i7 R7 x+ q$ ?* a5 u- s3 [( B: y- c* E8 t- w
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
" I' S$ Q' D) _4 @. w: S- k
& K4 C! c* `; c4 U5 X'微软站点安全推荐为2。
8 k, L! `- g' r( x- f) R! b* y
* b9 } c4 F2 [* b"TcpMaxConnectResponseRetransmissions"=dword:00000001
) B) C1 G$ P* i; F* |* l2 w) l& s- c% l" i5 g3 Q% G0 q! w
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。2 l" G0 V6 B$ R
, m, W. }' D2 \9 G' D9 r9 H: {% L+ N"TcpMaxDataRetransmissions"=dword:00000003
$ s" T" q; W, P8 m4 V S9 i4 D/ C7 p8 h1 p) _# i7 m( ?) k! y+ b
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
. P' _$ }. j: e' `" h4 h8 n; T+ u4 e1 z7 N- i+ Q
"TCPMaxPortsExhausted"=dword:000000057 ?7 j' b: \- ` o. [: P' n/ h
/ w; U; w6 r: u1 d4 c( l'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的& h- q5 M4 J& f* g% V- z+ r$ N* ]
7 s, \' x; }" b' a+ y, t8 y# X'源路由包,微软站点安全推荐为2。
# d# i* Q/ D+ S( A P
+ B# E; H A5 o8 I$ a9 X' J"DisableIPSourceRouting"=dword:0000002
, d, w$ A9 k% q
7 K5 F* n2 S4 {$ ?2 H'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
6 O5 g/ S$ I- K3 n6 U! C
2 f3 F& I9 F2 A5 L& ], I( b"TcpTimedWaitDelay"=dword:0000001e
" N% ^! A. _' l' s0 p; ]" T3 P+ `4 u- J) ~; `. a
8.如何避免*mdb文件被下载?3 J1 g. E4 v( ?- [
" j( R) |! J3 e1 }& _7 k! k! O" g安装ms发布的urlscan工具,可以从根本上解决这个问题。& b& Q. K* X( U3 u3 [8 L0 N
, S6 e R) \+ ], p( D$ v2 B" K- A同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
' r; M7 |$ M n; r* [* X ]; @' ]7 R) b( X* T# b4 I- f) }
9.如何让iis的最小ntfs权限运行?) u5 R6 G8 [& ]2 x3 U
: o. ?* d6 z9 [1 F! R3 V8 X依次做下面的工作:
( k4 V0 T/ A7 Y% s7 c* B4 E, f7 |+ u, @' H8 O* M0 K+ l8 o
a.选取整个硬盘:
1 |( \& _: Y [
. {% r* D# T' L# I1 ^4 r5 Csystem:完全控制
, U+ w/ a! ]0 z3 d y; t3 u! F8 J% B! n! i0 G- _6 O6 n
administrator:完全控制
9 a5 h6 `; S E X; K8 J
. @# ^5 h f7 }9 Z$ h& o% M(允许将来自父系的可继承性权限传播给对象)
0 m6 D6 I* K- b/ l& j
) J; m. {) M/ q5 c& U, R$ `# x/ _1 Ib.\program files\common files:
. p# X0 Z/ \; R# M8 g) p6 a# o6 K/ y3 s1 t2 D9 Z! b& M
everyone:读取及运行
# X- f6 T1 Q7 i9 ]
x0 f( F; ]" T4 N* c; ?4 q5 |& H列出文件目录& {% M3 Z% S- P) G: R( K8 u4 Q
$ V. i. \6 L, ? I; Y) w7 O读取0 m2 R) k0 g- N+ X" [
! Q0 I9 V- r2 z& w! V* B
(允许将来自父系的可继承性权限传播给对象)
: R6 V5 O# |: `* ]
* O' _2 Y% A5 S3 ~2 g- kc.\inetpub\wwwroot:. C- x% W. L6 c" v' J
) o; j8 e9 ^, k* ]$ X' xiusr_machine:读取及运行$ j' ^$ f/ |, d! ]* g; \
$ B# ]9 y3 A+ K. L5 l/ A8 u列出文件目录% [: p i* o2 b. v: r) R$ ^
6 W! d1 W/ H3 x读取$ ]4 G ]( S! W4 T8 s ?
. e0 C+ z1 A4 m% t, F/ b) x
(允许将来自父系的可继承性权限传播给对象)$ }& g4 |' ?8 K$ _, C+ o; N
. f/ t) m8 t* l6 z' p* Pe.\winnt\system32:3 y- `! E8 X S1 M* c* Z# t
- {- }2 w( j- e& u9 ^% y
选择除inetsrv和centsrv以外的所有目录,
8 |, l6 L- I; m1 w& v# N2 C( C j2 O8 _4 u. x" N3 y% S* \
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 i) S% W# f/ l6 [. b
0 P' z1 G# z4 e5 j# z! `f.\winnt:7 y3 o: j: e6 W x% |$ g: O0 O( j
7 g# K" W+ X+ o1 T) S! P) `+ s* W! W
选择除了downloaded program files、help、iis temporary compressed files、2 m5 C$ v3 M% B" D$ |
# ?' _0 _1 G H$ noffline web pages、system32、tasks、temp、web以外的所有目录+ e) I% }. |, L" f
- x M/ ~; F v9 X去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
- V& Z- ?5 {0 J0 I, o. D6 F% D r. e( G& u- y
g.\winnt:
/ s2 E( f: R/ w* G& |; K2 z# f6 Z
: \( F0 o( N# D+ W7 O( J/ e! Q7 Heveryone:读取及运行% K7 \7 v6 S$ C f4 N' ^/ E/ P
1 l. U" k4 D1 l4 M `列出文件目录+ h; } V7 p2 B5 f6 P/ \: J) A3 T; b
; T9 A: a+ f: I! t( J- R读取$ L3 ^; g# z# ]+ V( ^6 l3 V$ E
' q, d: R: z2 n Q
(允许将来自父系的可继承性权限传播给对象)& c5 h2 A9 c6 t
7 ~+ Y2 `; C+ W0 y( }) M
h.\winnt\temp:(允许访问数据库并显示在asp页面上)) i7 A& L, a9 @" Q |
( A! k5 p8 f. u! \3 s/ \everyone:修改/ ^: f# C L: E9 W7 w+ _+ m9 v
( T$ o& l4 u4 ?(允许将来自父系的可继承性权限传播给对象)$ P6 D7 ]+ ], ]! @6 s# E
0 w. S8 d( c& y. S: N
10.如何隐藏iis版本?
# A* A2 \2 ]3 a+ q- g9 _: |; K* h) u: C
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
. e6 O9 S5 R" @3 g. [" g ~* Y. q3 V! \" P* w0 K
iis存放IIS BANNER的所对应的dll文件如下:
7 C1 T( }% z, f, u
4 b) v# Y" G6 BWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
- _9 _7 {6 c; V- `+ Y& s3 E6 [1 U* L6 S4 z# b1 Z% w
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
% G5 q8 W8 @% N2 t' D
8 J2 n) ]3 k' Z3 O* \( cSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL' n! m$ z h( ^3 P* D2 E2 x
0 S& s( ~1 |0 i- I你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
8 t5 G9 c! O5 ]! A. g" S) G3 d. l7 X! C. M
具体过程如下:
9 C' J8 n& ~, R" Y2 ^) I- ]3 P1 A1 o" N1 ]
1.停掉iis iisreset /stop
1 l; V1 p. P7 Z2 Q: U3 L! Q1 C% ]
5 e, p6 W D% V0 H" q& p2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡