TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?# J! ^ z0 v) Y5 u7 p
: d. t; V2 h$ h& u: | ~
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....1 n; k5 Q0 R$ O; {/ r# r; O
9 C- `, n0 J% [/ }5 \ d! ?
2.如何防止asp木马?6 m2 W' O! G* T) r6 l2 [" A
# {+ u; I4 K5 G s, e% L# c$ D9 \
基于FileSystemObject组件的asp木马" _6 s2 S9 X. _
- c" e' w4 s6 n. s. ccacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用4 ]# N, v1 i; B! U- `8 p
% i: @; v, p5 {regsvr32 scrrun.dll /u /s //删除' [! `# D4 p U6 n- t6 m7 N5 w1 _
: q% L1 x7 j% t+ R2 z
基于shell.application组件的asp木马* P% B* e5 B) s- r% m7 m" D- \
8 b( X. a V) d1 ]cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用1 ~6 ^! D! C' v; B0 B7 [2 h% s9 w6 |
! N4 d7 c8 w- R& ~6 x) R
regsvr32 shell32.dll /u /s //删除
- k2 M Z6 J5 C R$ c* d
8 l8 z2 X2 k9 h* }' C3.如何加密asp文件?3 D* u" S8 D& D
$ ?4 s& Q$ I( I: h
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。) l% F% B! Q0 o1 f f
) L5 J& P# R3 g+ t
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。) {2 k( m# L8 k8 D5 J& i
" C( i( g* f0 y; i运行screnc - l vbscript source.asp destination.asp
- q) U' C2 |' a @2 ~0 V# F
$ c. J) _, Z# t7 L' {+ n$ `生成包含密文ASP脚本的新文件destination.asp1 Y3 f+ ~2 z, ^
5 x5 ^% k8 `* s/ U8 I用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
' I2 G. p$ ?: _. B7 t: [' c/ k% `6 {* s, a; R$ g% i( b! M7 M( J
但无法加密中文。" b0 N! |: ]. A+ F/ p# q& s% |
! ?' {. g% p" b$ f- X( r. F
4.如何从IISLockdown中提取urlscan?
# L* R, M- y3 f; i; ^
" J0 \8 |9 P( K* K3 }3 |& Jiislockd.exe /q /c /t:c:\urlscan
6 X1 S. u9 {" v8 i' Y# G" Z; }
2 e0 v, T7 B6 t# H5.如何防止Content-Location标头暴露了web服务器的内部IP地址?1 l1 T9 ~2 q2 F8 S( r
- g, f0 B2 c# L/ O执行
1 F9 y, Q9 _( t9 i& M4 m/ v3 C; J# z8 g* P; Z
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
" U8 B5 Y' ]. @" j1 {4 ]9 A& F+ M$ j3 @6 @" p8 G
最后需要重新启动iis
3 \8 {- L, T3 A6 ^1 ]
+ m; M: T7 y4 b: l4 A6.如何解决HTTP500内部错误?+ j! X9 r/ c# w+ L& d
7 M3 t4 Q5 Z1 N1 A+ iiis http500内部错误大部分原因 N8 Y3 D( |7 D0 {) x) G4 ^' _$ D* D( t
! J' I% {$ J0 f4 E. d: w( W主要是由于iwam账号的密码不同步造成的。" R! y' f" c& H7 K
& E: @. y/ U9 w) m我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。) e4 K) c5 o+ p4 j' V3 w. \" k
+ I8 H3 i6 y. g% P
执行! A$ A2 G% A0 Y! ^8 T
3 c2 Q; k+ a0 o% Bcscript c:\inetpub\adminscripts\synciwam.vbs -v. w; ~% G' |; t+ j7 s
/ E/ _1 |5 y) X% X7.如何增强iis防御SYN Flood的能力?
* X+ r+ Q9 ], z* S
6 l- f4 ^% u. n& Q5 h, nWindows Registry Editor Version 5.00
4 i# u2 h/ L( }, Z
& Y" Q& r# t* M9 p# k2 v( V[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]( `' r) D8 b% I: p
\1 [4 J0 _: ^$ F, R
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
6 a9 Q" g$ ^0 V2 D
0 `7 F+ v+ C2 ^& I* w+ P'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
6 A0 o5 E1 w' W! t+ n k
$ G3 R* \4 y8 O" k; l8 k) J6 i'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
5 \% Y$ E" A N+ n7 t. R6 ]! ?9 ]/ K% [4 z" N
"SynAttackProtect"=dword:00000002
; _( y- R$ n1 F4 Y0 ^% p$ i
& x7 {) o8 b- e( `7 d4 {" Z/ ['同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
- u: L" i5 k( K& m5 L' Y- G) F7 d" ~0 }
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
% C& [8 o9 X* V' N# O4 J' H- H# |5 }
/ Y$ Z# c; u- |6 V, _"TcpMaxHalfOpen"=dword:000000641 Q; \) [1 C. @
# k0 U9 u2 }; J'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。5 }9 c# @2 |: p
# p- H, _& ^* o3 o8 O4 ~' R"TcpMaxHalfOpenRetried"=dword:00000050
) h2 n u) r1 |+ ]$ Z c, z2 w0 n+ B, Y) k
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。0 B/ Y' b# z9 w( S" X6 Q: S+ A
% ~2 r4 q4 c4 a2 D( o
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。7 P! M) z. I% T6 a1 L/ M' x+ W
8 R, p8 n1 `4 Y7 |; ]" p+ T0 \ Y'微软站点安全推荐为2。
p2 N, P( c: v* C3 R% ]% ]7 f( R# X v* a- X! k; x" X3 S
"TcpMaxConnectResponseRetransmissions"=dword:00000001
. I# ?+ V0 G* D% N4 c# C9 d& C: V7 |9 R. i
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。& Z/ y$ K9 g0 i( q/ o- b5 ]
7 [: B8 }6 ~ `* G* z) c
"TcpMaxDataRetransmissions"=dword:000000035 J) h- g, G. Q& _6 b, t: R8 ^
9 P' Y' i$ u* E! _/ k
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
( t" V( J3 S/ z$ |) C/ e# ^$ e: _. y0 w
"TCPMaxPortsExhausted"=dword:00000005
4 p! R J0 J# M! q8 g$ D& [, o" G9 W* r) i& ^
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的9 W4 E, m) ?6 T! @" G. b, i
( C* g/ M6 ]5 w( M'源路由包,微软站点安全推荐为2。
7 W( r# f7 `+ g$ k+ F3 {5 ^* l/ Y* R' Q; f; ?% @0 ~. q% W- {
"DisableIPSourceRouting"=dword:0000002
5 h# F& b% y/ y4 m, Y. g
" Q" C( [- S1 T+ T! ?' A6 M; z H'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。4 v4 Z" x- ^6 x- ?' v
c! {5 x% K- r+ q! S( {2 h z" ^"TcpTimedWaitDelay"=dword:0000001e
: M5 L5 L3 w) C0 J/ o/ w3 A
& W5 g% {- k3 D' c1 R$ z: x! e8.如何避免*mdb文件被下载?
- a: J. i/ q6 K9 r6 }: j* V, o0 g2 j8 t/ `/ N
安装ms发布的urlscan工具,可以从根本上解决这个问题。
4 q2 z9 x( `* t% W
9 L7 d1 Y8 x9 i/ M7 t/ e# n0 s% c同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
( a# b. u7 N0 s# F3 y
+ j" c7 C. n9 ?1 P: u3 D9.如何让iis的最小ntfs权限运行?- n) F+ P* d8 E8 }5 h% N2 g
, Q. ~, n2 a! f y c! c
依次做下面的工作:
! ^" J4 s! t/ f2 C* _* l+ e/ V# \1 e$ E/ v+ L$ e8 z, z
a.选取整个硬盘: p3 [# o Z' i ]- U' H3 s
( X* m: }; n1 S B, e( ksystem:完全控制
1 K/ b( X7 ^9 ?8 w* p; @5 q. T' E2 S; ?
administrator:完全控制1 n, p' r9 P j' F; e
3 I$ q$ Z- f. I: k
(允许将来自父系的可继承性权限传播给对象); B% G1 K2 P7 v8 ~5 X% t9 Z5 i
% a4 I* e! P& r5 O& r
b.\program files\common files:9 ^" o4 e4 e/ z3 X% H8 M+ C
, P% a, {, }3 P; t! N; N2 v( b, \
everyone:读取及运行
6 ]8 \0 g$ v7 b5 Y9 `5 }1 A3 m" _; |9 L' U! r# |( ^
列出文件目录
3 j$ {2 |% e4 B7 K& N( ]" Q% N7 n( P1 k1 G
读取
! q7 w2 G6 t! f. F4 x. z ?5 o, p/ `5 k! r" t3 W% q t! k: k" @
(允许将来自父系的可继承性权限传播给对象)
* W1 g# N1 y4 o9 a; q& j
+ B; `1 p7 Q; k* p1 Nc.\inetpub\wwwroot:& F1 J6 ?) v+ W3 _
( T* \& T1 o r. j5 h
iusr_machine:读取及运行$ J4 C! b* ?! z/ J. R# Y2 t% e
) C5 n, _" k, T7 w& K) G列出文件目录$ {% X/ z' u& Z
1 e' X9 |; E( s0 s
读取
4 y: j4 G5 L& S6 }5 d8 W& B/ A
; E9 B& S7 p8 e: Z H o1 K(允许将来自父系的可继承性权限传播给对象)
/ o; y/ _: u; \6 q
: d4 D2 Q2 p, j( P0 z) me.\winnt\system32:
m1 `: q$ d6 `6 W0 U6 v8 n4 Q! x. L" b6 H1 u% H
选择除inetsrv和centsrv以外的所有目录,
4 S- P( i* B: m! D, X
6 h2 D& S# z2 A% r去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 v- b7 d! B8 v8 V- p$ J
& i; T1 |5 i7 o1 Y9 O
f.\winnt:
( A+ ?. s7 |% S( ?& B6 O# \* ^/ \ L: Y/ p9 x
选择除了downloaded program files、help、iis temporary compressed files、
0 b5 y9 o) X; V3 o! L$ F" {
- {# a5 ?' N# O& V5 X' Z+ x' roffline web pages、system32、tasks、temp、web以外的所有目录
8 w6 P- c- R& _" M( Z
+ K; d( V: G Y# k去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ A( v, A6 U0 o) Q; z: z
% i) q5 \ n/ S3 W; [g.\winnt:
0 N1 W. m# m" }2 D R2 k1 n2 L! f9 Y: Z4 u s
everyone:读取及运行
6 k4 m7 K4 P# s G; _
9 _* j/ J9 p2 f7 {+ H4 C, |列出文件目录
1 X" g% _2 X3 |, p) X6 T
+ M- g' ]" C8 \1 i$ b: A读取
& A0 g6 |- x' u4 J. r, D/ w: b. S& v: ^
(允许将来自父系的可继承性权限传播给对象)4 }( p$ E, B# O" r v
6 a P: k) o4 O( I3 Z# w$ N! Bh.\winnt\temp:(允许访问数据库并显示在asp页面上). G! ]9 O7 L! _) u
. d: [ D1 m) n& @everyone:修改4 S2 h- [$ Y$ `5 p6 k
. M; h+ I* _. R/ Y(允许将来自父系的可继承性权限传播给对象)/ s9 z2 x' p1 p2 e. k6 }
9 f1 a' g# M- T* R! \2 ?
10.如何隐藏iis版本?
- E2 A7 f8 j! @# A9 | r3 P& m" ]( z m+ g- T3 i6 e2 z6 C7 `* C
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息! C8 t0 M$ n5 q. z) A. L- @
0 x1 V) j* ^ A6 y. S' w/ Piis存放IIS BANNER的所对应的dll文件如下:5 m9 D# b d h8 }7 k
0 O$ o1 t' y# Y& V9 `9 T& e: TWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL% g$ o: b4 P e7 y6 U+ k% T) p
. X, g* A. _: e$ q- n( x3 [
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
) r" I" |" a6 v) L/ \ h$ [- w, y- \; N! E4 c, S0 x: B- J/ q
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL2 `+ D# ^7 N2 _: O" H( e' u2 j# ]
2 G7 v4 f) Y K% c你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.04 ?! `0 E* U* z1 R4 R7 m* S
0 e) O ` X1 X/ X具体过程如下:2 q! q) R8 o( Z
6 W1 d1 V3 {6 g/ g, J1.停掉iis iisreset /stop
0 ]0 ]1 ^, N1 S* ?" q# H; V9 k1 F2 k' }- A5 p. C+ s
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡