TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?+ ?; c7 ~1 H0 U3 ^ @
! Y1 p j: }# ?/ ]! g0 }- _
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... S) n+ @- j' ]% [: v
$ w. z1 Y: |! x7 S. B9 s$ m8 e2.如何防止asp木马?
" T- B6 E$ ~; k( E0 b
; Y8 q0 ~# [' B2 P2 a0 E7 ~- i基于FileSystemObject组件的asp木马( o1 {6 X$ k+ a8 S% s
' h" L. J% `, m9 U* H C4 C8 scacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
8 p+ ~0 s) l: d* a3 k
# a0 X; T1 p0 A$ hregsvr32 scrrun.dll /u /s //删除# Z- q u5 |1 d6 l; d* E
- J4 K9 q) i1 N1 Y$ [基于shell.application组件的asp木马
8 o' C) Q, `: n& a8 Q, G0 Y8 }; c$ W8 s$ v
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用: t% \; b( A4 ?
$ `3 B7 ^, s; S) R$ ~ k. B! nregsvr32 shell32.dll /u /s //删除
; h0 Y+ ?$ c/ L1 Y
4 q8 q$ D# S9 f; |3.如何加密asp文件?# v2 d& X6 X4 O
5 ?/ }/ t8 u" w# a" L( |
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。- h$ s9 \& f+ W% g- d0 b6 O! p
$ ] O( l. }$ @" E
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- `3 _; K; b% ]( s# x/ ] U& j. b6 D4 X' }% _3 V7 u
运行screnc - l vbscript source.asp destination.asp+ t5 Z1 L' d( ?4 x5 K4 u6 O8 A8 O" d
6 R6 i9 x- o- c+ v
生成包含密文ASP脚本的新文件destination.asp$ F2 v3 W. C( Z ~3 D
1 @, q3 y5 w8 i& m5 s- I
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了0 P* }0 Z& R0 V: @) u5 F/ X6 h
% V" b+ t( ~% n4 h但无法加密中文。9 I4 K, S7 K* s, e3 t
$ p- i8 A4 C; V5 N4.如何从IISLockdown中提取urlscan?) h+ p5 r/ w/ U2 f4 N+ V [) p. I
: D1 b/ @: E7 _; y
iislockd.exe /q /c /t:c:\urlscan
1 e1 k3 Z; w) m" e" m- X; L! W9 d6 J/ x# V) f% U/ G5 V$ D! i
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?, N- y& H) `) {
2 l; S+ m. Y1 E. J- C) W! s9 Y V
执行% q$ F/ q4 u. C- g
. }4 F! \! L+ y4 j9 u# f+ Y/ V
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
$ @) K' T: l+ u: W+ v4 v7 R8 A- O: Q5 M) K
最后需要重新启动iis
% [: e2 w. R2 E1 o4 z; P9 q$ x; d m q: l) W' n) M
6.如何解决HTTP500内部错误?* A) D; F% P3 F( |
9 @. L6 T% Z7 L! | I7 i
iis http500内部错误大部分原因1 h# p" z4 K+ b6 z* }1 x0 z
! l1 W/ m/ b ]8 c( m主要是由于iwam账号的密码不同步造成的。# f+ \+ d Z6 d
, W& Q/ i. W" k5 j1 k
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
9 D7 x) Y! t- g
7 H' d \1 k7 D+ i6 P执行
% h! K( c/ C; q) U7 @' y6 s5 J, O7 T% o% t* |0 D% S
cscript c:\inetpub\adminscripts\synciwam.vbs -v
) A; x* x- H7 c& @3 p' k B9 |: ~; ~2 a% j: {
7.如何增强iis防御SYN Flood的能力?
5 b, U. V2 h' H8 h1 I; [! N+ b, ^9 L! ]
Windows Registry Editor Version 5.006 m$ q& ^4 O9 U) c9 R, D
. _0 A V* k, p4 Q H9 s6 w
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
5 v4 E5 f. C+ V: R. t% d/ G x
: ^* v" v; j; \5 e# n6 y'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
& @7 |$ H- v. H4 B3 [8 N+ R
# m2 f2 R8 j' J' U7 ~- F'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值% R2 ^2 f% [6 o: ?8 f! ~
: K+ u4 v: @* y1 I- j9 W, a
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
`7 a2 P1 t+ O4 }3 N7 f
3 Q$ U! m$ Z! L8 @. b: g: U( \/ }"SynAttackProtect"=dword:00000002
$ e# b, n; y0 [" w8 ~2 _. n) A& R5 {2 w& V% N( A( f3 b+ W `7 A
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态* p6 e9 C& R J0 W% ? {/ A- w$ W1 A
, V: l5 O! f, ^# U% x, I% _
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
) m! ^! U! w1 {
$ L3 a2 h) l% Q8 I% C2 w3 W0 \# M"TcpMaxHalfOpen"=dword:00000064
# D# ?2 u6 C" s
3 ~- j ?) i. Z' V! o6 ?& A, _'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。8 ?6 @: P9 [! N$ @. Y" _
- A5 v0 ^0 L1 E, r"TcpMaxHalfOpenRetried"=dword:00000050& Z& p2 l2 \( G' p+ A4 M
1 `" O8 C$ T N7 a( |$ L'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。! T# Z' T+ }# ?* z0 G# V3 H
+ _, a# T$ \" j+ V1 [8 p: |. Y8 k'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。2 c6 t& Z- G! X" n0 }) k
' g: L# g/ ~6 D5 M4 \9 ^" X9 W; U! U'微软站点安全推荐为2。2 C0 [: H/ C/ a. N" j! K4 `( D7 q
4 j" r% K2 A W) d! e
"TcpMaxConnectResponseRetransmissions"=dword:000000018 e6 T" `1 _3 r' z% |/ q. A
, O. |' Y% G) t'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。4 X5 H6 G8 F* x4 D6 w; W2 \
- j: Z! e' ^$ G( ^; ~! `' p
"TcpMaxDataRetransmissions"=dword:00000003' x* s, Y% t9 X7 w6 B
8 N# T0 M5 u) Z$ V% a
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 R$ Y E* K6 } d3 V7 f
5 f6 ^- }' Z! n3 \; c"TCPMaxPortsExhausted"=dword:000000056 _! J, A4 j/ M0 ~: P3 p$ V
; _& s! w" r4 Q'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的) t, s0 y q4 n8 L7 O
4 {' C' L: d: P3 _+ t p) s1 |& q
'源路由包,微软站点安全推荐为2。4 V* D) Y0 r5 k" z0 g
|/ U7 E1 v3 \: U1 X( P+ v"DisableIPSourceRouting"=dword:0000002: i. ]* J" y" B$ V+ I
" X, v. g* c* A9 G, B
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
$ q; w! X% y! K6 |, x- }3 J1 n ~, B
"TcpTimedWaitDelay"=dword:0000001e
) a p/ C& D3 r8 o3 ?
. G2 d0 O! X$ |+ j1 L8.如何避免*mdb文件被下载?! e, h7 q# ?) L) k0 Z- G
" W7 q; h3 E% o安装ms发布的urlscan工具,可以从根本上解决这个问题。
6 b. N& E5 D& ^! @9 z# W ?* u) m; |; `
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
8 w ~! ]- `1 S( z% t+ f0 P9 s; S, x H6 E4 ^' A. ]
9.如何让iis的最小ntfs权限运行?
2 ^% C7 @( n+ k" s8 D5 [7 e" H
& u+ S, G) T3 a# Q依次做下面的工作:
# t; i# {* D: D9 Q; J0 i( U7 C j( y5 z( ]
a.选取整个硬盘:
8 l. P) c' m9 B: i* k
* l+ }" l5 U" Z% @% H" w; \4 Rsystem:完全控制0 G% S( _$ y" T, H2 x4 [
; I3 {' O l; `$ b1 P9 v5 i( B
administrator:完全控制
, N4 r7 j* H4 E- ]4 w2 q; g& C q6 N+ x* [5 P% t% [
(允许将来自父系的可继承性权限传播给对象)5 [) U" ]8 Y5 W# j3 n& B* J
4 a$ p8 {$ J& Y0 t1 ?b.\program files\common files:
5 P( a. E6 |7 y. T3 {+ N; d# @: Q- I! x G) s% s6 u
everyone:读取及运行
5 S! P- J/ T3 }8 j& h
/ h% k! J: I" ^3 |9 P' u: t! W' G列出文件目录
2 v, E" j5 h0 m) L2 S6 K4 d6 S8 a$ u7 z- x! {. ~4 l& V `; @
读取1 U8 a3 Q' x! m# ]. \+ Z
& n: s! c: D- |+ S7 I* z(允许将来自父系的可继承性权限传播给对象); B! Z3 ]- k4 o, J4 J# V9 W- {
# w6 h* c% L e0 q. n- C
c.\inetpub\wwwroot:
$ {8 w# N9 H1 T) s$ \$ g7 b2 L$ {
) o1 w o, Q4 z7 miusr_machine:读取及运行
4 @: E' M; r3 D! x+ r9 |1 o! l: V! M; ?
列出文件目录
" S- |7 b+ S! ?1 B8 q+ ]- p0 c: _6 G1 N
读取: P1 n8 e+ ^$ w' r) O
5 B4 Y0 y/ P$ T8 X(允许将来自父系的可继承性权限传播给对象) u/ K; |4 d, n8 C/ e: S4 |( W
# W$ d6 L2 U! A6 M3 u; ae.\winnt\system32:
D8 O7 C9 k- q( G' ?( @. ]9 ?
3 U$ x& r/ |& t2 O) \6 v+ @选择除inetsrv和centsrv以外的所有目录,
4 {" V, \8 A5 q0 q5 p: J
& ]: |& J! S8 D: S; v- _去除“允许将来自父系的可继承性权限传播给对象”选框,复制。! ?' g; p, n# j& [
, P2 f. S8 [0 ?5 [' O3 }
f.\winnt:2 l$ E; v$ \7 ]* x# [0 `
. }' Y- ]: o0 u, x. j
选择除了downloaded program files、help、iis temporary compressed files、
+ u: E% D" z7 l5 ~! K* x' o% o; k# c& \ Z" B. K
offline web pages、system32、tasks、temp、web以外的所有目录, K% @! a. Z) p
$ E3 H7 x( d& t) I) l去除“允许将来自父系的可继承性权限传播给对象”选框,复制。0 Z" o6 d2 D% j& z! {5 W8 U1 C
, x+ w1 p7 n) I
g.\winnt:" o+ a$ |* R1 e4 s
% Z& O: S& i: S) z N7 Z; @+ Q, I1 k( X! Reveryone:读取及运行& `* w1 Q+ g' s5 q. M5 `; C
6 l0 n+ }* n d% L' ]% D+ P
列出文件目录+ `7 T* g5 H2 ?3 m& X j0 b$ ?4 ` \
. S, e: L* ^8 e3 N; O
读取* X! J7 i$ A0 e6 ]. x
! w) g1 p0 P' |8 i o( t0 S(允许将来自父系的可继承性权限传播给对象)
# Y& d5 x, `6 S( t5 S) o8 A0 R
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
' E& Z9 E0 }6 f2 G; A4 k l1 c$ _& G; n7 o- V* L5 c! \
everyone:修改# {! ^4 h$ O4 c, S9 [5 W, ]
* l2 z0 h( n9 z1 F3 L( |(允许将来自父系的可继承性权限传播给对象)' G( d: E2 f+ X# |7 k
& l& m, R0 X' l5 s8 r
10.如何隐藏iis版本?% j$ h8 s* S) Q: [3 s: s
: `# x; H) }( U3 J7 g
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
5 `. X0 g' b, y5 t- W* i
; a- b/ q1 }5 Aiis存放IIS BANNER的所对应的dll文件如下:& h' F2 P& z3 I% U2 ^, O7 D$ P! A
3 @, Y+ X4 k) }4 j1 i* vWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL0 z$ S0 v j" x7 B3 n+ E
) C1 U8 D+ J* ^
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
' c. N$ G8 s t% z7 C
0 h& I( H! E4 [, m7 K2 ?1 L* nSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL/ C( M% _( N. u' z8 E {6 L& `1 [
' ?+ m6 l) a7 C$ K4 N你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
/ h7 [3 e5 D& g4 v
, ]1 A6 G j" u; r% ~ y, [具体过程如下:# ^, M# B7 C2 M: r& z
0 d: q6 m, G V' m3 e
1.停掉iis iisreset /stop
" W9 z- j" i; [2 H2 X# [
0 A3 @4 J/ G% y, Z4 c0 }4 Z2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡