TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
6 F) m+ |$ }. G7 y+ D1 x5 C C: O V" T, h4 B
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....$ l& F1 j6 k$ Y& c+ G- ?
* r+ w" t3 a/ r5 H8 @5 f
2.如何防止asp木马?
: J) e k6 F1 T5 [
5 @0 N: q# n$ `( G+ d) b$ G基于FileSystemObject组件的asp木马
: V, m, ]7 P: i. n" [
6 h: ^: T' y8 S- Y% ]cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
! I* o7 U7 O) u, q; i( u; @4 R. a. i: N9 ?5 ~/ P9 a
regsvr32 scrrun.dll /u /s //删除
) n5 k4 |3 ]& Y- N+ E7 b* Q3 ?$ ?+ ?, J6 W; @6 K
基于shell.application组件的asp木马
8 j% g* X# p/ F$ h7 Y' n
2 K- q8 Z, I! z4 ^# ]cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
, o; I2 k$ z" D+ R% Q1 s5 I; W
+ I( E- S# [( V6 E; t; Dregsvr32 shell32.dll /u /s //删除" s+ P# s) k7 F( p$ n' p
e$ B1 r Z5 c$ j! ~" X5 c. S8 L) N0 k3.如何加密asp文件?
, y2 u Q- j' e5 T0 W, I& H* b% o# h# ]2 l7 `5 ]
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。$ A, n/ }8 H; g. X8 |+ W
' i5 P# U+ R1 w+ l4 z: q. D
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。6 w! E( K) ]" o5 x+ N" G
9 H3 ]& d! E0 P* `3 n7 U
运行screnc - l vbscript source.asp destination.asp
! Z* v' I4 n( {/ l- p3 V
, U1 \8 E, y4 ^生成包含密文ASP脚本的新文件destination.asp5 B7 F- ?; @$ S. t
% j) d# }, H& x6 I3 s
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
8 v* ^: d. V' E0 Q9 b( y' y# b- |- U. g( Y6 z2 q
但无法加密中文。' ~( u! F# u- x4 F1 z0 u/ R8 w+ i
' ?! f6 F$ D0 c$ [
4.如何从IISLockdown中提取urlscan?; H+ P, c. Z2 @0 p1 H( R$ y
# L9 n' u0 A3 C# b' z" a
iislockd.exe /q /c /t:c:\urlscan
* x) j( H _! _) ^9 ]6 h8 P3 H X1 Z% x. Q ~
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
+ _# r; w+ P3 W
* D9 t+ ]- p0 e执行; x6 S1 w2 o) j8 \/ K; Z; `9 P
+ P" o0 x& l7 k% `: R) g% Lcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
3 c; e. b! _. C& n
% E+ a* u+ _! U9 [, z最后需要重新启动iis0 s' ]& v" T, {! g+ J( d1 e
) Q/ A( R( t# U3 E% p) z; \
6.如何解决HTTP500内部错误?* e- z" W8 t0 T5 \# q" t
1 H2 {# M) N+ uiis http500内部错误大部分原因% h. P+ r4 H8 U5 J K1 c
) ~& [5 u& E6 M* g* m" f. B, o
主要是由于iwam账号的密码不同步造成的。+ g$ A0 G7 E2 F0 b4 Q. s
6 @: v7 K3 w; L2 k. K, A+ e4 P我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。; `! ?$ J- P5 ^, v$ i$ Q4 p/ Q* \
& y8 @ b3 Y8 U# h0 s J ]
执行% g8 @- c6 a# H7 ~: Z( ^, |
! D9 J. V$ _3 n1 i
cscript c:\inetpub\adminscripts\synciwam.vbs -v
& ? q, V( _9 g7 ?8 `0 L4 R$ ]) ^$ j' l$ U+ g2 ]9 K
7.如何增强iis防御SYN Flood的能力?# u$ T& ~3 o }2 @7 W+ u
# D9 V/ \$ u( m! s) Y1 i; m
Windows Registry Editor Version 5.002 Y7 _/ R( `2 G# O" K, \3 g- R
7 }3 y3 E2 }7 C$ q8 [
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
; ~! c. y7 b; w" x; {3 T" o4 T/ p ^" `2 M
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
3 g6 N; u0 {6 M5 _& f' H1 G' _& [5 m0 a
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值& c3 W3 a) N. C
, e- E E) _' \( v$ |' S'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
- R9 Q1 d! o7 y0 m& `: r- r6 R/ I& P, W
"SynAttackProtect"=dword:00000002; K3 w7 i: p- B3 Y9 u. b U
3 Q5 a1 ~8 e9 {) E7 X! U) k
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
3 S. ^; y5 b: b' v& N
0 H9 V1 A/ M9 @; P. P'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
# t4 l3 u8 Q3 r/ K- I' n6 ~8 q$ k5 }& \4 E6 i# t
"TcpMaxHalfOpen"=dword:00000064
2 {4 `" G' m0 ?3 V! ^1 L1 }5 M# k1 S8 y
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。0 A0 d, h) C- M9 [
; i2 h w; F" G
"TcpMaxHalfOpenRetried"=dword:00000050
8 R+ u5 a; t e6 _1 A+ A
* Y" ~" p* Q4 `! C; h'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
" K0 W" j1 z+ K% f- j
. V6 O; ~" \0 W3 I8 w'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。6 f6 q U8 I9 w2 I! h% n
- K S. ?0 W9 I0 E2 R'微软站点安全推荐为2。
9 l4 |* ~+ G( x5 _
6 K" ?: r) s$ m7 ?6 x/ a7 f: y* d9 T: z"TcpMaxConnectResponseRetransmissions"=dword:00000001
, k# }2 z) t" e; x+ }& N2 b/ N5 ~/ z6 d. O9 g8 C
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。" I. P9 D- a: w% l$ S( N
- ]8 S: B& M# Q0 K
"TcpMaxDataRetransmissions"=dword:00000003
5 h3 l T! U) F" b
' a4 Q! s+ P7 b# f# H% q. i'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
. G. M6 j* Q5 f ], @5 h; v% t9 f- X0 L' ^) ?# B# V4 l
"TCPMaxPortsExhausted"=dword:00000005
" k! I4 `! R0 T9 |" z& Q
' ?2 S R; J5 v/ b: B" g+ l'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
+ v8 M$ d! u% d, H9 c- h+ ~/ s) _# _/ s! `0 e# F$ T. H
'源路由包,微软站点安全推荐为2。
8 \4 _7 ^. M* m2 W: l1 O: H& g: l' f7 q+ `% x; D/ I4 X" \( p
"DisableIPSourceRouting"=dword:0000002; ]1 A4 d2 B8 N. m. [" l
6 Z0 Y4 T, N+ G4 M5 V'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。$ V4 `1 ] R/ M# ]* @
2 ^$ W4 T8 y @1 _6 i/ l( H"TcpTimedWaitDelay"=dword:0000001e: K- k O- Z! N/ ~% }/ ^
- q$ S$ r* R8 t7 Z. C/ I8.如何避免*mdb文件被下载?
; S* m/ Z1 G$ y( f: t R$ a x! X& b$ p: K" a% |0 X3 K2 G% V" Y5 k
安装ms发布的urlscan工具,可以从根本上解决这个问题。
% K$ w3 a3 y. o/ S6 {7 z, ~8 k& C+ {" R. X0 o+ i* [
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
8 ?' E( ]1 U" h. n0 L+ v
. i4 F9 v4 t( L2 R9.如何让iis的最小ntfs权限运行?
( K, ]2 _- m' ~& D$ C6 ]1 a) x6 h# {5 `9 d5 h
依次做下面的工作:
B& H1 _4 |3 g" d7 S5 l4 E4 X6 J; @0 ]% Y8 G; Q, R
a.选取整个硬盘: U; j( U1 r0 `
" i4 E# I b/ Z1 n
system:完全控制
6 P S" P' a1 r& @, w8 f- V: N1 R, L* ?. B3 y
administrator:完全控制! `! E( K1 E% z
! k) n$ j( A+ h9 Q- y7 }# x
(允许将来自父系的可继承性权限传播给对象)0 V/ v3 {5 a5 }7 u; U
4 I1 h5 h: S9 _' \b.\program files\common files:
) F& h7 i, v! A! W$ }4 e8 a# K( K3 [8 m$ M6 w- W$ ?9 q( O
everyone:读取及运行& {- |: o" t, b: K( E
; @2 a( x& g- e1 S6 g" U7 o列出文件目录# ^7 J: n4 L- J! V
5 v" [' J4 Z: n- [1 {. J! S( m( n x# \读取
% ]4 ^# g, S0 u( f" r
- a5 f) k; [& c2 J9 {5 q! z(允许将来自父系的可继承性权限传播给对象)
1 m3 k" z- s ?/ y
/ o4 @0 T2 ~) x! G0 |c.\inetpub\wwwroot:# v. x8 m( X+ z8 v- S
0 P' ~! s# t% o! Riusr_machine:读取及运行6 q9 [, C# o' R# \/ d/ v4 f% f
! p; B9 O/ G6 }$ \" v& G
列出文件目录1 ?9 E8 C. l2 u a. e! }$ F, _4 r
1 o6 l% U1 s3 M* w# g0 j
读取
; P( y* C, q9 l$ l9 Q( y) M. q" o* ^7 \
(允许将来自父系的可继承性权限传播给对象)
* {% c& U) ]5 i1 l0 P4 u; {; @$ m; b
- S5 q7 c! s: W) b ]e.\winnt\system32:* C& Z# w0 @9 }( i
% m# e$ @' y2 V+ ], P# O选择除inetsrv和centsrv以外的所有目录,
: z! ^- s H9 S1 _4 N7 B& Q% q3 Z: t" W
5 [: b) k K2 f6 H去除“允许将来自父系的可继承性权限传播给对象”选框,复制。& K( |" q" o4 ?# w: e
( _/ b; I6 @) I* l2 h. ~% z3 A" P: Kf.\winnt:0 u8 G- ~4 m" V, `2 c- l
/ j% L: B9 A5 s& e' u选择除了downloaded program files、help、iis temporary compressed files、1 M/ L/ i4 t3 o2 H5 r, }
/ E8 W7 o. _, Xoffline web pages、system32、tasks、temp、web以外的所有目录7 V. \% S% z0 x/ p* ]3 i0 |# K* q
0 K- K! G/ s( g% H+ M
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。& ^# f( a# i4 [" r! t& U* {; i
+ c, h$ G2 I9 _3 ~$ cg.\winnt:) p6 O0 v0 c0 k, J1 w
: F& a. u9 I" \+ n- Qeveryone:读取及运行
) C" j! f) S6 B: S7 `" ]- E$ p9 x5 W
7 K2 J( Y" ^5 \. z, d' t列出文件目录9 i) \- E* r5 w
3 ^+ P1 J X6 j( Z" H c: N; O
读取
# H# B2 g$ L' x/ z! g
1 f: @+ D" w4 q4 q* n3 U(允许将来自父系的可继承性权限传播给对象)) z1 L4 i" \. N& O
* H4 B2 N( g$ O9 h% `h.\winnt\temp:(允许访问数据库并显示在asp页面上)4 z& Q2 p9 o( o2 b# p6 I. O
/ l. M7 z2 ^# ]# W
everyone:修改
* ~8 I2 X+ g2 k. C
/ h( d! F- L! Y0 x r8 e(允许将来自父系的可继承性权限传播给对象)
% z* f5 F) D3 X/ A5 s4 U& j7 b% F4 Z+ |. u: O: B
10.如何隐藏iis版本?
$ }) E3 ?2 V. s, ~1 Z
. t! t+ [' `( t3 {% \: c! g& Q一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息- s5 ?- g0 \6 ?1 j- i9 q7 w
/ f: X* s: J4 U% O3 E# Uiis存放IIS BANNER的所对应的dll文件如下:
8 e x5 `( M8 i7 M
* E3 Q& U) {' a3 O$ g lWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL7 B; S, t/ a, ]
* |. n) B- e( z; B6 K
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
( t1 `: T/ v/ D+ i; E1 @8 ]
+ ]9 H& s5 ] iSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
) T$ A: ^+ |* r! E! ^; r- h: A5 K1 G1 ?! ^2 U; ^/ W
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 V& }" g9 E1 V1 u& |* k: Z. o; D5 ?% Y8 e
9 W) Q/ Z& n3 @* V& }
具体过程如下:
( c- d7 D8 N9 w$ |4 K4 W
7 d d/ |# A% \+ }$ e1.停掉iis iisreset /stop# s+ t& m0 u$ @
2 \" o7 W8 G- n+ p G' f! s0 s
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡