TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
+ t3 X" b, O# o) f# K( M
) g! ?1 |' M6 F9 |: F8 x& x8 Y修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
& I, u& n6 z3 `/ @: n+ F: k
$ i! a- a) U0 f5 z* ?9 F8 x2.如何防止asp木马?
5 l( |: A# ]) a. a3 c T$ p% P. n H" Q' {( P
基于FileSystemObject组件的asp木马7 @8 O, Q d" Z, p+ r, b2 Z; C
9 B" z2 B1 G" [+ i, C2 P8 b4 @: `
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
- x B5 S: G% m, C: [; A2 \- |. ] s3 C* O w& r6 f3 J1 h/ y! j
regsvr32 scrrun.dll /u /s //删除
! |! D6 |5 b7 E2 o! H9 N/ R1 h- y5 s% M5 U! ]' k+ b0 P3 h
基于shell.application组件的asp木马9 e5 n" Q, b) @: H4 s
1 I9 g& f( I( A) Ecacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用; }/ t/ u4 Y( J, ~, o
$ B8 Y5 I5 h% x3 m: U4 sregsvr32 shell32.dll /u /s //删除! m5 w: v& y8 y" ^% b
+ O+ |& \/ G$ M* g6 n2 t& |
3.如何加密asp文件?) j7 H" ~9 [: q }; v6 Z
* b1 d+ x2 ^8 V4 n
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
. r7 x/ |* v' f4 m1 K
6 R7 W$ I- D7 j w+ u8 d安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。# }+ B% g- P1 ], |3 _' K: _
# m2 H5 _! m0 B" J" C- L4 G运行screnc - l vbscript source.asp destination.asp
% h. ~6 X$ [8 x+ O7 Y! {, G# @( p! w3 M6 s# G
生成包含密文ASP脚本的新文件destination.asp
, _; Z% r% f" z- C3 U# C; C$ h" i8 Q. {6 { g
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了; |, L5 b* O& d1 T
, f6 A' X0 N8 @$ U" {$ F' X3 R- }0 [但无法加密中文。
' Q1 X2 q* j2 t8 V9 R* m) m* d7 f' r
4.如何从IISLockdown中提取urlscan?" u$ N2 b+ y8 j! p
+ ? y* ^+ L8 r9 E+ ziislockd.exe /q /c /t:c:\urlscan' y T% N8 K& S, I7 T1 a
$ n4 a& V: G1 n" D) W
5.如何防止Content-Location标头暴露了web服务器的内部IP地址? v9 f8 F( [' U. F& Q* I7 F
; a+ F7 R' Z- d+ T# @; H# N J4 A
执行
$ d( S2 ?) |. P
' w% i5 @; J2 t& N" ?cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True% z2 `$ a, N; r1 {% f& b
8 p9 h+ v/ B! K* D
最后需要重新启动iis
3 R% }0 X+ l) o. h; d, y% Z4 e l
6.如何解决HTTP500内部错误?, x: G8 a! z4 b9 H6 s$ ?, \6 s8 d; _/ K
/ Y2 S9 L/ w& y) S. Qiis http500内部错误大部分原因
- x4 X& S. w6 {& O* r9 J) X6 v) q1 f
# a$ ~& g3 y% h! h% \主要是由于iwam账号的密码不同步造成的。
! \% V( \+ d+ u+ H! }3 ^
8 U! q, `# G2 Y+ ^+ y我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 r, B( y! v! ~* `# F U
% O/ }1 e' n1 P& O1 G执行6 \/ h/ N& f3 |$ i- u
# U& Y( }3 B* _' s. Q
cscript c:\inetpub\adminscripts\synciwam.vbs -v
+ e/ J6 s. d8 D: A' c
. V" H% m5 Z8 T$ i" v; n+ S7.如何增强iis防御SYN Flood的能力?
2 p( z: s5 G' I$ `0 F- l3 q0 {& Q5 h+ W
Windows Registry Editor Version 5.00
. e, f) L; t i
a8 L2 ]0 j9 k$ C[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
- r0 U' {$ k2 B# E; ?5 ~6 D6 v) v. \; S2 t0 F; F
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后; D" M! l# W! M- z0 p3 ]: q3 I
* u* T* h/ c6 I$ ?# V6 f9 A'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值3 y1 {+ K4 j+ E8 W, y. O* p4 {
% L1 D0 h+ K5 t'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。1 o4 p4 \. | j; }3 Y1 [
- w" q, s' L" b% _/ Z- @"SynAttackProtect"=dword:00000002
1 D3 ^/ o2 r. [, p: y- ]
U" X( i, ?6 G& Y'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
( ?$ \6 B+ z& L. l. D4 F2 X2 Q" \/ m# E7 F1 r& ^. g! r
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
# U( ~. @; o ~# u0 Y2 p5 j4 S7 v0 V, f+ `: t; \1 f( e
"TcpMaxHalfOpen"=dword:000000645 l% M$ O1 ?% y$ }$ w4 ~) R& [; D
g# h! w3 _! e
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
( ?0 R5 m2 S8 e3 p& O; ~" h# o" p
/ K6 t2 M7 ~# y5 f5 y; A% N7 I1 K7 p; X"TcpMaxHalfOpenRetried"=dword:00000050
" l$ i# h( Y! ?( m/ W& v! Y: @$ p9 p$ b E- f3 S* Q# g2 H6 P4 h
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。- `& C. s" G5 C8 ?/ x
. r5 F! n4 g" y) O. T, c7 ['项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
+ X% Y" \0 |, Y+ M8 `
" w( M( ^7 H4 S# Q y0 ]) E$ U/ |'微软站点安全推荐为2。
" ~5 [0 |; s8 h
H. a% X( A' ?2 Q7 @) M"TcpMaxConnectResponseRetransmissions"=dword:00000001- L3 e8 w, \2 O* z
5 p7 l; f, h0 W0 ^. ]* A'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。5 x0 A9 B' X: k" ^8 ?
. q; c7 j$ v8 {; t9 d"TcpMaxDataRetransmissions"=dword:00000003
N/ Q" D; F w1 Q$ J7 ~$ [5 v# y1 N- i! w: N6 V$ V6 ]! A
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
* L% p, Q/ T w6 B+ V
% x8 g* I. ~: M. n k"TCPMaxPortsExhausted"=dword:000000054 } F0 ~) l" w
/ H2 s9 w) `& T2 [: s# _' w. T'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
* T8 i. n3 d$ n
' E0 x$ u3 ?7 [% O' S8 w'源路由包,微软站点安全推荐为2。8 R: [3 l) c0 f# y( H9 w* J3 \' x
6 ]3 ~) D, `4 [) s t% s4 L
"DisableIPSourceRouting"=dword:0000002$ S8 T4 Q, ?: G" l. v- g
9 l+ S" b3 [; [4 s% d8 C$ b) [
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。: O$ y F& u7 _5 O/ m
$ u1 T' ]) B3 Q7 s3 N) m* W"TcpTimedWaitDelay"=dword:0000001e, p/ N. u% W( P' s% N
* x/ e$ [7 U5 D9 g/ x( C
8.如何避免*mdb文件被下载?
% ?" T' |' G& G! N6 W N5 O% ^( L
5 B, \- E6 M% d, Z( J& t7 E安装ms发布的urlscan工具,可以从根本上解决这个问题。5 ? k2 d+ D& z( w
7 i8 S' } N8 A% |, \同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。! d* S- |$ Q& W: u
; R: e" O$ `7 x% e. c9.如何让iis的最小ntfs权限运行?
2 @5 K! B- |3 ~% F' {% o
' Z+ F! P# P4 x: d( T+ V) W依次做下面的工作:$ Y$ y+ a8 q* X/ u0 R
, N& g7 P4 y: ^$ d
a.选取整个硬盘:
5 ^1 i( m& s$ U& _# J' _$ r; S6 A% u, e0 m# Z
system:完全控制/ H6 K5 X. z+ V$ B
8 w- ?+ K% O9 v) Xadministrator:完全控制
& K% L6 }" e0 h: }; P5 T4 E; ]. K/ q
(允许将来自父系的可继承性权限传播给对象)
/ k% @5 D, D$ C' n7 S) v6 @
$ a) _( x+ W! J3 ~b.\program files\common files:
( T( ]: l0 J# L3 [ J8 E' i+ ]6 Q t2 t" L& i, a! ~' j& Q* `
everyone:读取及运行3 t2 x' r, F. U X: e$ j, ?+ z6 s, d
8 W& ?; D# }) r( Y# f列出文件目录
' f0 n- P+ }- W8 |
# l' \" @. ]" O: E' B读取' k9 q6 f' Y7 ?7 f
. B1 v( |, o. l& I( m+ {(允许将来自父系的可继承性权限传播给对象)
4 O4 M7 N8 S4 M5 @; p, {( k0 X* O1 T% o. h0 K) j" q, ?9 K' \
c.\inetpub\wwwroot:$ J8 `: Y& K& v& d. I$ y! g( y
+ B8 S9 ~/ f( `" P/ X1 Y
iusr_machine:读取及运行% S$ N+ M2 l8 b
4 Z5 [ Y, C! h9 W7 D列出文件目录
8 f4 V$ ~& X3 S. w% `( i7 P3 S4 O1 I/ F4 U% Q4 W7 Q! `* [
读取$ o+ v! r0 U9 i3 i
* h* ?& D8 }" x3 @8 w [(允许将来自父系的可继承性权限传播给对象): [2 H" H$ i7 G a* ^' ^, H W8 ^3 t
+ X; a0 Y6 I! B. Y; y( I& I
e.\winnt\system32:+ V/ M! p) X8 k6 t& X! o- }
% e1 |7 g! ]; Y5 j# P/ a
选择除inetsrv和centsrv以外的所有目录,. `5 a: D* v' d2 r
# X) L; ?, J. Z* U( [! K* ]5 Q0 t
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 s# r2 f, M' W/ p* A! `% R' _" |7 K8 A! T7 e0 P8 P
f.\winnt:9 O+ _. r+ O- v) J" t1 f
) ?$ U/ s& { _ H( d7 P& x
选择除了downloaded program files、help、iis temporary compressed files、( x+ V4 Z1 \/ h
b# q! `5 D( U+ `offline web pages、system32、tasks、temp、web以外的所有目录- |4 V1 T5 a! ^6 i/ ^: k N
. L9 G1 T) N/ K Z8 o; j" o# J# e去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! J: V" F$ O* k# g0 l/ p/ Z) O( l( i2 J
g.\winnt:$ y" g/ ]0 t- ?% t5 I* D
1 s# `" ^5 d$ K O3 L$ @# v/ Y
everyone:读取及运行
4 ~3 b" ?+ h- B5 T K8 L* N4 V+ p# q7 a
列出文件目录
. \8 g4 t. F! z( |* Y+ C) d y
读取
; f8 q8 x: c+ W( O
$ ~) |. e& z- E4 C(允许将来自父系的可继承性权限传播给对象)" i/ `" Y7 H( b( q3 K
/ D# \& a8 Y* m3 m* Z* G
h.\winnt\temp:(允许访问数据库并显示在asp页面上)7 H" R# O3 z8 c' u: E" H
0 u1 [2 u8 U$ l
everyone:修改
% h8 d6 y5 M4 U6 Y8 D9 C) c1 e
$ @6 I3 z% y& ^, P" k h3 p(允许将来自父系的可继承性权限传播给对象) a: q- w1 {" k% J+ J! @% M/ s! U7 O; o
* \6 w! D( S' j8 `! Z* M" ]
10.如何隐藏iis版本?
7 h7 V+ Z' T$ G3 Z) k
+ v5 S* \/ L( S* J( F一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息5 y8 b# {* }2 a" A1 ^7 r
5 D Q! l2 r4 `( w0 o
iis存放IIS BANNER的所对应的dll文件如下:/ W# T$ @8 @: l* A7 o' z
) A% p: Y- R0 M5 o$ U& PWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL$ }/ ?4 @" l0 y3 G+ a) K, b& L
4 y& u U7 _8 d2 R x
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
! l- |8 l& \! w5 x( i! C0 J+ Q/ h" R
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
; `1 A1 a0 V- U1 K) h+ q- n" Q; _) E/ N1 e8 z
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.08 M" U3 D- ~+ ?; m5 h T
1 ^, ]' ?$ W$ g* L1 S8 ~具体过程如下:
( c0 y" ~; l' Y
$ {, E- g/ D# p$ y+ |2 h5 ^8 r, ]1.停掉iis iisreset /stop
# T% D7 }) Y* o. K7 h/ I9 X, `# a3 q. ?
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡