TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?0 g, F a! R6 M9 u) @
1 r' H& v: s3 A4 Q修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
3 n% ]4 }9 e& o
2 j5 k) G2 p" R2 ~, T2 o2.如何防止asp木马?8 M3 o* X, o, [! V- r1 A$ R- S5 _0 V8 J
+ u* u' Q- I& H7 I2 Q. s5 m# A
基于FileSystemObject组件的asp木马2 r/ F1 s# w. v+ ~
* x* v7 v! Q6 O. P0 B9 P3 q) m
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
/ A) L2 r P6 Q7 b. {; g5 _
4 r4 w& e! ?1 T6 i& Q9 F% s7 Mregsvr32 scrrun.dll /u /s //删除
2 w3 S( ~& v3 B% m" i, G8 L1 x
" E0 R) J' s6 `4 b; A基于shell.application组件的asp木马
$ i7 r9 \7 [; i+ o' J. l, H" `8 u* ]2 F+ v
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
+ w0 U/ z0 Q% p3 q5 G: u
" g: ~( i0 G, r/ Cregsvr32 shell32.dll /u /s //删除5 b8 [" ?7 u+ p2 Q
* m. D; O& S% l! }0 O. k% n3 r3.如何加密asp文件?
6 J! j4 v; J; F$ [$ Z3 T( G) f
: H9 @- F9 F3 R2 i! y4 \从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。5 ~- u) X U7 e' n
% y. m, F$ N, T2 l7 w a
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。5 m. u2 F! m& d' M" y+ r
1 ?4 a" K8 Q) Q4 m E! Q
运行screnc - l vbscript source.asp destination.asp) s+ i$ A+ f( i
1 i+ I: } B6 @. j5 l
生成包含密文ASP脚本的新文件destination.asp
) S/ w, A6 r! P- q3 h
) L5 y. C; w5 G% L H4 v& b" n# d; b用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 d3 B/ t* n) @2 f
; y( D N. N6 }6 Z" _+ g& D: B: ]但无法加密中文。
+ m8 K8 q5 v- d% G1 M: x7 K
. }# N" y& g; N; G/ @5 Y+ P' H! S4.如何从IISLockdown中提取urlscan?
9 @) o# I+ x- Q
' M/ x8 R1 c1 J, z! ^iislockd.exe /q /c /t:c:\urlscan6 t) E/ w9 R! U q a
2 \* `( F1 D0 }4 F5.如何防止Content-Location标头暴露了web服务器的内部IP地址?( A, e0 t6 p8 I' \
) f+ z1 X8 C& D. i执行7 V/ |, o4 h- E5 O
3 j6 @, J+ S. e% o; E
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True( v* A ^- _, q9 K0 c2 P
* }7 ]+ ^2 k1 ]5 }* t1 i
最后需要重新启动iis
9 q6 q) k, q* q& J) Y k( r; G: Y- I, }' X5 m r
6.如何解决HTTP500内部错误?
; U4 D0 H9 g7 X Z5 L
- x3 R3 K( x1 O* A! giis http500内部错误大部分原因
" F, o# r9 o7 O' l. J
) a: g1 l3 g/ U8 }2 ]8 t+ m主要是由于iwam账号的密码不同步造成的。7 Z6 g6 ^; ]7 r7 A) o& M5 h
2 k, L2 J/ d: u( ~2 i
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
* E; L' [* J# w* ]- q6 H7 H6 g) w! ?: K! J. g
执行
' T3 m9 w) n0 F! }( `$ S& g0 Y- q
7 |3 p: a) H' N* V6 \5 X9 o5 Fcscript c:\inetpub\adminscripts\synciwam.vbs -v7 S) [/ z3 @, ~; W: e2 _
; `, x3 e$ M% |& y! O) X7.如何增强iis防御SYN Flood的能力?
9 f+ g6 r# p8 G3 c! w* @/ G j# w" V
Windows Registry Editor Version 5.00
1 o2 @5 K3 S5 H% d6 m. O
3 y* {, h6 @, V5 s/ c- T[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] N# ?/ e- ~ B2 G( [0 R" s; o% P9 a
# t, V3 T* v, h3 n8 d. }'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后* N* j/ L1 T7 F' i e, f
+ X- O" D, `7 M4 q) v$ \6 f'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值1 s9 b3 g/ E4 _! Q: p) ^
0 w$ c9 O6 N7 Y. R& P$ i8 ?2 B'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。6 ^- W# o) g- v; `1 B3 B( @- a
- F! r' j" r3 M# v7 n' [5 b, x"SynAttackProtect"=dword:000000025 U* F7 W/ N( T8 z9 `! U, C
* L+ S* a5 V3 m4 |; y2 u# O'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
7 H; D! c C: P) t) N: E
5 c# D0 w8 T$ i+ p5 E'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
: J1 v0 d- R2 R: I6 P8 s; ~9 H- V
"TcpMaxHalfOpen"=dword:00000064
( y, Q+ o4 o; _3 r0 m
4 U5 P" x. h% E' w'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。2 e( p P* h m8 F/ }: @
/ `% U; B. }4 J( c"TcpMaxHalfOpenRetried"=dword:000000507 |/ o0 q6 C* a" _* c
; w3 I* R% C3 T+ i/ m" Z'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 }+ G) b6 @, n1 j2 ~( ]5 Y
4 r1 L3 o$ m6 N+ D C'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。. h$ j! V3 Z9 x' ?% E# ]" O
: t" n5 k, f+ b# u4 Z, K4 p0 ?' F'微软站点安全推荐为2。2 r% {! |3 d, w0 C3 s+ Q! G) |+ _
- b7 H7 {6 d/ G0 _"TcpMaxConnectResponseRetransmissions"=dword:00000001- H! @- Q$ u. D3 Q) x
" b( d% x5 i- C2 `'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
! A6 Y0 h" r2 n. Z# ~6 X& _
: Q3 L! h1 w! o! o"TcpMaxDataRetransmissions"=dword:00000003. l. q2 h( V8 N9 B" e
4 z! k5 f: {0 q
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 G( [- n2 P# f8 _( e3 h% z
9 u; W" q/ a7 n6 M) C+ K% O2 o% m
"TCPMaxPortsExhausted"=dword:000000055 s, { X9 t3 D6 U
. f! N( ^3 x. z, z
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的( g6 I, U0 {' @6 A# z& a
" g; `: g+ S3 O1 d
'源路由包,微软站点安全推荐为2。
: {! t7 p7 n# `0 f- w8 P! b. s% K$ |+ n' r y1 w( ?7 x
"DisableIPSourceRouting"=dword:00000022 B3 P" |8 z/ B: w2 T. f
% A: j; v i; e0 z& [
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。$ i8 K) t0 x, O( f- O& P3 C
) n8 [9 G+ _0 a; ~6 T
"TcpTimedWaitDelay"=dword:0000001e7 \0 x1 Z- p- e+ o( t, z
: g& e2 J' d( A) }5 e2 k: `) c2 l6 O8.如何避免*mdb文件被下载?
6 U3 ]/ }, @8 D- o% f/ {
# K2 ~* A4 x5 N' u! N安装ms发布的urlscan工具,可以从根本上解决这个问题。
& [: p9 T) J$ l5 ^" m0 O! u3 ~
5 W0 D6 T' R2 V3 j5 {同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。0 a) t6 y" h4 q W& r n
* r# ^5 U8 U5 ?4 r7 T: ^: o
9.如何让iis的最小ntfs权限运行? Y6 O. C: Y/ C6 u' f6 J
3 g: p% G( f0 q/ d5 d! P, U
依次做下面的工作:
# u- Y) e: T3 G6 M% `* V% M7 x' N) D. ]& R5 ?: g. Q
a.选取整个硬盘:1 M& J. o% Z1 @- D8 S2 e
, O1 P# Q& ~6 c! ]6 n8 ~3 b/ R
system:完全控制% J* w: b/ @4 e' O2 m( z6 f
3 U) r J5 \/ w4 W- @6 s2 L
administrator:完全控制9 v& r3 q ^% ~
$ J3 A7 b; A% N3 d( I9 L$ b(允许将来自父系的可继承性权限传播给对象)) D5 n0 z+ u$ \; ~0 f$ m& |2 S
1 Z( P+ b9 s9 v6 p
b.\program files\common files:
, ~4 q! k9 L. E. j& g f& ], A, h8 ~" z) R8 m2 t6 Y
everyone:读取及运行
. `) e+ E* c- p8 t
: `, n) e' T. O7 p' p列出文件目录
2 C7 q0 ?/ @% D7 K5 g
8 Q) b5 g' O9 a8 g: }6 \7 M$ z' U3 W读取
+ W" q* t8 K7 q8 e+ f S$ j
# ~8 b+ F1 u% ](允许将来自父系的可继承性权限传播给对象)
( ]- J2 @5 G) R2 j ^' U) D2 V. D1 O* R* y. z
c.\inetpub\wwwroot:
7 t, a: }& `7 Q" O* U$ x* l" k0 K, p! N4 ~
iusr_machine:读取及运行
# a' i1 _* b5 g4 J+ g9 K
4 \( M: n. p9 G& J列出文件目录
# v3 d* r& F% V/ i+ T8 ^
9 v0 p3 W4 g5 x* ]* P Q) O+ Y9 D1 @读取5 i, x& u; s4 @. {" i
& ^# ?+ v$ P4 d/ X+ d(允许将来自父系的可继承性权限传播给对象): J& r- U! c+ ~
6 i# S2 s0 n5 @e.\winnt\system32:! e7 `0 _; _+ W$ n
& z, A- @! i% Z& [. b5 ]% b选择除inetsrv和centsrv以外的所有目录,
9 R+ j. t0 i8 J5 o' ]% o* }' q
! M$ F# g4 m3 H去除“允许将来自父系的可继承性权限传播给对象”选框,复制。" K" n$ \9 ^8 a% v [" X2 V
7 V2 A! x! @$ {% Y, \+ Xf.\winnt:8 k+ h* [& n! c) b, f, y. D/ C
" g X& e5 ]; s% Z' d选择除了downloaded program files、help、iis temporary compressed files、
' I# I+ A' o+ R# N5 `7 `1 w$ C
) D) i/ {# S4 _offline web pages、system32、tasks、temp、web以外的所有目录) j4 Y2 l8 D+ M: @7 ?
/ K* \ |: ?( `& G: N' h% b1 V
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
3 Z8 \; c* F/ B9 y6 _" u% c. U; u( G: y5 {1 {$ q8 x* A& v* G$ O$ P
g.\winnt:0 u* D$ I' n& c+ E B- W8 V
% j* n0 A- G# A2 F- }# d: T: P
everyone:读取及运行
& U" {* v+ l$ u4 H/ S
+ H9 l6 V* ], {. Z! n, [+ E列出文件目录3 n5 b( f, h- |5 \
: ]3 a u! t; g- \& D3 m
读取( {0 D# N' f+ L/ O
0 H$ k. H6 l! s; m% R" Y3 k(允许将来自父系的可继承性权限传播给对象)
2 f2 R$ l7 B, q3 D) Z
. @; G6 h# w+ U7 P$ [. [1 qh.\winnt\temp:(允许访问数据库并显示在asp页面上)
/ V/ Z! j$ Q: y) u/ k* a. J$ E9 R, ~2 E/ a2 |
everyone:修改* R" D* B0 k9 S6 T2 X+ x$ T
- F- u+ M2 e, O0 e% ~- R4 N& f1 G(允许将来自父系的可继承性权限传播给对象)3 | Q' z: Z0 \/ z x8 Z
* I& ]7 \7 H0 h/ i10.如何隐藏iis版本?% t; `4 ~( q$ f; a5 ]9 p
4 i: a; e$ N8 s' c" _0 U* i一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
2 ]* D! E" m* D0 j$ Y" J0 F8 r7 F
iis存放IIS BANNER的所对应的dll文件如下:0 ?; ]# D1 J( a/ c+ B" c; w4 }
. c1 U4 C' n4 g/ F" O+ YWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
, }& A$ v8 K' f1 z- A1 B+ V. N
5 Y4 }# d: p% Y, v# }FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL2 Y' f; W7 T8 O- A% \3 F6 ?6 X+ R
# q/ u9 q4 D% l# N) ]1 oSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
* E: v$ \+ l9 ]+ G( m% S s2 {7 U: d S" k
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0+ n4 A* n% p9 E6 H/ T
& D8 ?+ ]6 x+ d$ z- ^2 G
具体过程如下:5 x: a" L. [; b% j; _
, l% O3 L* b. }% ]& X; J1.停掉iis iisreset /stop
+ M/ }" U/ r% z9 `
8 U! u' C2 e% I0 D; ?9 l2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡