TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
5 {1 d9 z4 }, [( }4 J4 l1 v, t0 |5 ]! m b3 L; w2 b- r
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
& H/ e( H; o3 ?4 P4 P% M' x- ~! d* b: y
2.如何防止asp木马?
1 K/ U3 k: @" Y2 q, h! x/ @' ^
$ m" Z! s# Y0 ^( a基于FileSystemObject组件的asp木马( M) q$ ?" n i4 T6 x. J
2 O) D% G2 N7 H6 T5 d' }" `cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用+ W" b N; b. p$ V3 j5 K' o3 V
/ E, u. M) g [7 Rregsvr32 scrrun.dll /u /s //删除
( w" A- t0 Q- ]" J g L
+ ] v. ^ g* U4 c+ s基于shell.application组件的asp木马# y. y0 ^7 |: Y; b( S( c3 M0 I
9 M2 J& n" D8 s: dcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用& c$ E1 e. r# t6 \; ]$ g0 k
" k8 a9 D, K1 j; T! z+ b
regsvr32 shell32.dll /u /s //删除
% c2 a0 i3 L' k8 x$ J/ `4 {. ~- w0 |" J/ s7 G: ^& {
3.如何加密asp文件?; F* r# B4 K3 V! A
6 ^* |7 ]2 S/ y: y7 T. f' {2 y
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。, m* {: V2 b- ~+ p% ~' C
6 Z+ Y+ K* X5 u
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。, t g$ V9 P! Y( Y( I
% f$ v' ]$ H9 d, Q; u" m% s
运行screnc - l vbscript source.asp destination.asp9 M5 g. W3 y2 N% b1 L( f e
* W/ B1 D) J+ h* |
生成包含密文ASP脚本的新文件destination.asp) ?0 d( @" ], n
7 ?$ \. f; V- `+ C( Y9 ^
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
# j7 h( D, s# [# i1 o
5 Z: ~$ m$ v0 ?但无法加密中文。
, }; w) q; }# X2 N; x% g- W, y
4.如何从IISLockdown中提取urlscan?
( d5 c7 {4 o! l3 _; O" v7 }3 w; ^, O, {: s6 e8 n; s
iislockd.exe /q /c /t:c:\urlscan
P! H2 {7 O t8 P8 T/ g i* L0 E' P+ v' {+ p( A7 f/ q1 h
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
; w, Q5 [4 F8 C: z; a
. e7 p( D1 [% m) O6 W执行* {% t; T4 ]( g3 S( E
) B* d2 |( ^9 ccscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
" n, J3 ^- N& o, i" N9 Q9 }
% }: b! c e8 b* @最后需要重新启动iis
^0 q, e( g7 S& \* C4 B; Z* [! o& P0 ~% |4 g% t) `
6.如何解决HTTP500内部错误?
! _" Q: u6 F0 }1 L6 m1 w
/ w' E( h) {: u* d* v2 O' Eiis http500内部错误大部分原因8 R; Y& m9 @ P" z v
4 r' Q% H! I2 V0 \主要是由于iwam账号的密码不同步造成的。. W0 B* D$ h( ]9 |$ v. s \
6 x8 r" R) j) q! T/ j我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
3 D0 m" j7 f! e' u( F: H
+ G) `" i& A" x# S0 |0 c执行4 y7 m: k6 i3 E2 {9 h
9 @% \# f& X- e% p1 G' s% q4 B6 Ccscript c:\inetpub\adminscripts\synciwam.vbs -v" D6 T. V. b, A) M Q
, l: J" Q0 G3 T/ A7.如何增强iis防御SYN Flood的能力?- ^( _$ G* D& ~1 h: L" F) A
3 k# z* S) O% {# g& s! A
Windows Registry Editor Version 5.008 _ E! v% `: t
2 P0 Q" t) b- d$ Y/ D$ b3 z- G, O
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
+ f* \' c" ?5 L8 I2 D6 I! }& M n
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
" e; N- M! O! Q: u
/ n. J+ {8 }& @7 M# Z& T'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
$ f7 q$ }3 \ D
6 q% m& N+ ?0 a1 C ~'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。% |9 m* S- s3 A5 m( e \' n
a2 f/ t3 v: D"SynAttackProtect"=dword:00000002
' ?$ w5 h \9 T+ x$ }, w* \ j# \; w
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态' x3 P& D( x) _- L" X1 i
2 o9 f' e) E9 F9 f8 v v'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。" X# _$ a- g5 t& |* R# I+ f* R9 y: Y
$ L3 @5 O B" S) d5 s/ ?"TcpMaxHalfOpen"=dword:00000064
* N8 f# g1 T. u" L- W! \. G |# L; t8 m4 G, J$ S! ` w
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
) G1 m( t' y1 f) i2 l1 z, I: R" @& o! Q1 u9 }0 B
"TcpMaxHalfOpenRetried"=dword:00000050
% X w5 A# H1 E1 j/ d( w. x" T1 |6 [7 z: z" ~- K/ z: p
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
' q- g1 u2 v9 K: z# g: i' r
0 F8 _) P- }1 W9 g$ }, P" v'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! K) K6 j b2 h
) T O' p/ ] c$ _2 v- O. s* H'微软站点安全推荐为2。
! e' N2 N1 H5 D9 `# B3 p8 M* K" e
"TcpMaxConnectResponseRetransmissions"=dword:00000001
) g7 j$ U: ?8 P3 ]* B- @
; i' d0 j$ `5 k/ [ r0 \'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。0 s$ D, f8 O" d2 d* b* ]% E9 _2 x
# z" p) \. {" c6 g/ g0 Z+ n4 W! _) u
"TcpMaxDataRetransmissions"=dword:00000003
* e$ ^1 Z* a' K+ w0 l# R2 p+ b- L3 ?4 K! H' J
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。" \0 w. s4 i) U
/ ~3 O- P' ^# u! Z. w# j2 Z
"TCPMaxPortsExhausted"=dword:00000005
0 p) v6 R+ Z( G, f& N- @" m# s" B
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
: r# O! y+ \' `5 x) N. i# w7 R
P( B) g1 m4 K& B4 ~- a'源路由包,微软站点安全推荐为2。: v/ N, H1 s( Y$ R& V# f! q
6 P9 t+ h& l- J6 A6 F! c
"DisableIPSourceRouting"=dword:0000002
/ D0 E' E6 c. p' ~8 q; V3 ] W3 D" w# I2 b; Y% I# C3 t6 j' S
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。. C, P* C# [! b+ [( M! I- i
8 b2 R) W% E! h' Y/ U1 c"TcpTimedWaitDelay"=dword:0000001e' s. m( O$ W8 ]: \* N9 Z3 W
$ b- _) z# i! G! g" D; ~: t8.如何避免*mdb文件被下载?
, W) V- K, ]3 ?) O- B6 D! B; S3 ~3 ~; B9 j( x- X
安装ms发布的urlscan工具,可以从根本上解决这个问题。
' T2 V2 z/ s9 W0 E) ]$ |
V ~/ i0 m- P同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。! V- A2 r3 C' H" B9 O* [/ R
0 P! G# b2 X! F% f8 ^ H
9.如何让iis的最小ntfs权限运行?8 j8 R4 G. n. y; R3 f5 g
" q) D1 Z' u; @$ s1 h1 e, h依次做下面的工作:# V, s# i$ K0 Q5 w
3 V4 q# t( _, Q; S" fa.选取整个硬盘:
# a1 [) W; d, b8 ?. r* {3 J3 V4 B: G9 B! A
system:完全控制
6 n* G- _( _2 w) f* k) ]1 c; Y- |4 [- P7 y% ?0 v! I1 h
administrator:完全控制; l: d( A. v4 N- b- f- d# l
. U. C; l7 O. a/ M- i4 u(允许将来自父系的可继承性权限传播给对象)$ i/ C( i6 b' ?& D
, u; }. {2 W* ~( ^, m( F! A: U' S" ~
b.\program files\common files:
. ?' Y& B! w. D) s6 m8 t
- C0 t! R6 n5 `4 [- H" zeveryone:读取及运行
: i& e! N( A/ ~( b8 G& |, i1 k1 {& |8 _
列出文件目录: O- F; c' h8 [4 @
+ J# v7 K$ I8 K" x! j8 P: i读取
& @9 x: p- A6 q9 L8 s% E% v
5 g6 D& V! f' Z2 L3 I' A(允许将来自父系的可继承性权限传播给对象)
6 q$ \% P% |+ F# \
7 E& [- y( j+ M, k& y7 G, vc.\inetpub\wwwroot:5 F' P4 r) |- A( I0 [
9 i. G" i" E% N$ o1 ?7 U7 B( {
iusr_machine:读取及运行
- c* d- H$ j: ^" C ^1 a1 ^/ y3 K& {1 p4 {" B2 \$ Y
列出文件目录3 E4 P# k! V- f1 X- V
0 t$ n# l! E; Q! Q3 G( H& h* M
读取9 n. M! l, e8 Q, h
+ W. i9 k% s* V2 y' ^* [1 T
(允许将来自父系的可继承性权限传播给对象)
, r( s4 P0 z" w$ z Z2 k% ^) y4 A
e.\winnt\system32:" Z$ O3 }2 p5 A$ S
, \1 b" n# b2 Q, n5 }/ }+ F' ~
选择除inetsrv和centsrv以外的所有目录,
* x5 b7 b& M* A$ ? S5 i8 Q# V H% e
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。5 A- Y- h7 g5 D# h+ _6 I$ ~; ]7 c2 z( w
- D2 X5 d& I" J- g; }# y' l
f.\winnt:
, a1 J& F! `2 V* X7 T" U7 `" t# N s0 I9 m
选择除了downloaded program files、help、iis temporary compressed files、: D3 |4 c0 N9 ]5 L7 G& }1 k7 g6 I# \
# P$ K! A0 U8 d4 C5 roffline web pages、system32、tasks、temp、web以外的所有目录' l3 B0 C- n& C. }% h; \
7 d% R6 i4 P+ R* C' o& a& j4 \; ?: z去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
5 [+ K7 d+ }3 k2 }
( V! ?: s+ B ?+ |g.\winnt:5 Y& a# t# E: ^* V; c
5 Y) ~* l1 k( a0 a+ @) ]! A* {- ?
everyone:读取及运行
: @# ~% q, q0 ^, e9 R6 N, Y. s. J
列出文件目录! m) t8 X# y$ i6 ]: B& O* n
0 [, j p1 y. j! ^0 @! J读取
- |8 l, z F( f5 }# r9 H9 f9 T& A: K4 S/ s# B, ]2 n) y# c
(允许将来自父系的可继承性权限传播给对象), t5 E& ?7 D9 z5 K9 L
/ c: F8 Y( {0 f8 {: c6 E/ i6 `h.\winnt\temp:(允许访问数据库并显示在asp页面上)
. a( m) Y1 n# F5 z8 W. l+ g2 r1 l" A/ \8 x
everyone:修改
0 k$ \, _/ B+ E$ Z9 m A
) s9 B* g+ o+ @$ j+ g* f(允许将来自父系的可继承性权限传播给对象)
' I8 c$ B9 x" @2 y9 |. }( Y0 b4 H) n+ ]7 P* n% M
10.如何隐藏iis版本?( }+ g, ~1 ^+ I$ w
) J @& z2 W8 O; Y1 Y一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
( |, q" b, z8 A( V, L5 ~% f& J% ?
5 y0 [* ?" R* i7 G. Oiis存放IIS BANNER的所对应的dll文件如下:
$ O- z" ~( y8 T3 ?- ]: {4 w6 T; G1 _
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL- _5 j! v/ j) V/ K
9 x9 h; a$ S \- W, Y* `' \9 dFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL: p5 q! J1 m. D4 Y, @/ Y
2 S6 K5 G8 H. p( M: j
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL) i+ u3 |, t8 Z7 J
/ M* R* o# v- p& ~ x6 r# M; R) i你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 _6 c' l1 t7 a# R7 H
3 N' [/ A7 u- A6 W具体过程如下:7 [5 D$ x, T2 }
- f4 i8 Y1 E! X' b' S, W1.停掉iis iisreset /stop& S' J" \' ~7 k
% _5 I% n8 m. U+ h
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡