TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?4 M* n2 K5 h) C% q1 b
/ D( `: F% F( h4 |% ~6 B
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....- `) ~3 a8 c3 `! h! R* f8 U2 J
2 X" D. D* a+ L ^4 x2.如何防止asp木马?3 l; Z! J5 k" P$ r) t
. C8 _) _) _+ r" Q" s
基于FileSystemObject组件的asp木马
. u- Q9 M' [! Y- |# W/ { |3 |; Z& a; q4 }" D- ]
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用5 @& ^& b# h. b/ D7 P' x
7 q0 ^! Q. w4 }( {8 S( N0 dregsvr32 scrrun.dll /u /s //删除
, I' P ^* C2 t/ |+ j; A
# ~# b; i) Y* B9 S) k基于shell.application组件的asp木马
0 G* }9 c2 B5 p- x, q4 ?1 R8 A! v/ Z" S; Y4 D+ ^# S
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用" K+ s( {; {; D5 E
9 |) E5 F4 N) g' R6 Nregsvr32 shell32.dll /u /s //删除
/ p6 j t6 k; A
* T, ]* r: O# M3 I+ c( G& _6 ~( D) |* v3.如何加密asp文件?
3 g. e; V) l- Q; R% V5 q9 D
. M {' S- ~3 @- `' U( ^7 Q从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。8 b; F$ {: I: x# j" s3 _& `! z
3 ?) d* k- R4 ?. ]3 T
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。+ Y% h; ]4 y7 V/ r' J: H
1 D& Z @' G9 J" C2 h
运行screnc - l vbscript source.asp destination.asp2 P$ z+ b" W7 |4 x% s9 ^
& _5 K+ C$ ~ Q' Z
生成包含密文ASP脚本的新文件destination.asp
# S. F5 r2 h% R# r, b9 A( C+ F" S
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
+ t5 \! f$ q! K: D D; ^) m, f
0 v3 Y& q/ |3 r+ H9 J" t但无法加密中文。
) j7 G+ H: ^3 X. x* |9 X4 O; `5 [) O2 K4 y* n2 X6 l
4.如何从IISLockdown中提取urlscan?
% B0 [1 H4 y7 [& U# G8 R2 l" z
iislockd.exe /q /c /t:c:\urlscan9 j+ r+ p+ A6 R9 K+ y$ S
, E0 [: F- {2 q1 M2 j" P
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?- e4 |; ]/ Z! [6 q; s* x3 `
3 v$ i0 i U, @& y执行4 Z- C; L' N. a% h- a% Y& }8 Z% t+ c
4 s6 T. v5 h5 t# ~6 Q4 Bcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True$ q- k' d, @3 q' e' l2 \
) Q2 o8 O' \6 i1 P) W( {最后需要重新启动iis/ i, C* F2 w- N# C8 b
3 S' ?0 b9 |; u% ?
6.如何解决HTTP500内部错误?
0 Q/ k d" ?% S- j' I
! b* d, h- Z+ y' o% D; l& oiis http500内部错误大部分原因
5 J. f) f1 t* P' r: U7 u- E- h' }" X) E5 ]/ `
主要是由于iwam账号的密码不同步造成的。
: d1 n" M; o/ o5 y9 M$ U; y
' p* p4 M) u; d我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
5 a- y3 _2 l& g7 _" O: G3 m3 n3 C7 R* z, n* J. D# o1 _+ h- B
执行
+ X4 ?# W6 Y0 t- X$ n, J0 h9 V6 A$ C+ M$ U' L
cscript c:\inetpub\adminscripts\synciwam.vbs -v& i: F% [# [2 G7 y9 x' S
" `$ q4 _( \5 b/ {7 s$ B& ]* i7.如何增强iis防御SYN Flood的能力?2 t- x! ` D a6 w& V- ]8 _
! ~7 a) R1 D. D( |. HWindows Registry Editor Version 5.00
7 F( r9 M* U6 z* d0 B. V: g% [* \1 B
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
' }2 a' M! A; T# g9 B$ {' V E, b0 ]3 A* B& X0 i$ z
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
3 d5 O. Y! k: U, W' T m3 _* z2 K# @5 V! @( M0 Z7 M
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值. v( D1 C9 m: n- @' R, [
) z! ^8 `) I4 D" t( N s'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。& w0 ?- _# z: F7 o, K3 U. e) W
7 j& k4 d6 C8 V
"SynAttackProtect"=dword:00000002
$ S- J% e" S# [1 i0 p1 J5 ^3 w2 ~/ P7 n5 J
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
$ u, Y8 [5 `3 h% o9 L* G8 ]/ k* T
/ i, ?. G4 L4 m9 W. D'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
# J2 D& k6 V" w$ v: {: f+ F, {1 u( x" b8 Z* P
"TcpMaxHalfOpen"=dword:00000064
; O0 \6 ?* r S9 m' f7 T( C7 E1 I
; F. H" }" Q; r; k* T'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。' R2 n5 w# u7 s! Y! N, c3 `
* q: M( ]- w! c: b5 x3 N1 E ~
"TcpMaxHalfOpenRetried"=dword:000000506 C& `2 I2 h/ n" i
D9 W* S( b# m( ~0 o
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。9 t) F9 Z/ }0 {# j4 U. F4 w7 V
. Y, B7 [# m# H% N5 N: E
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
+ D" O4 ?5 T" Q( ^5 `
- ^" s# ~) V! v2 G) L7 r'微软站点安全推荐为2。
* { ] S2 a- w- [ o( G
5 ?) W* z2 }4 J"TcpMaxConnectResponseRetransmissions"=dword:00000001; ]5 n1 v8 ~: z7 K( D: P
' p& K0 R3 E* V9 B( X7 f/ V5 H'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
# k/ N9 ?; e* F4 D
4 C+ Q7 y- v$ Q5 H/ G"TcpMaxDataRetransmissions"=dword:00000003! w" m( X: w4 o3 W8 `; c0 `2 O
- O p( l3 C( L
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
; \9 k5 \( O# k+ {1 J/ f2 T
: o. G# V/ r: G. Z; j3 N$ I"TCPMaxPortsExhausted"=dword:000000058 |) j7 o% ~% E( I2 _
" X+ H' B2 n9 P( `7 L% J6 N
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
8 [ n8 b! T; [4 i3 P6 s9 Y2 @5 ~3 x+ x- C- C
'源路由包,微软站点安全推荐为2。
/ w- [4 Y0 Y* _# [% N2 n/ J7 U8 _: i6 K. d( |
"DisableIPSourceRouting"=dword:0000002
$ m4 `9 w. x* }. A$ }! C0 s( r& {7 M) z0 {, r0 s
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
/ d) ?0 Y. O$ `" t
3 A% W$ S+ R2 J1 Y9 W: C"TcpTimedWaitDelay"=dword:0000001e
: M# o" Q: w. |: a4 \! y4 L- i# O% ~( ]5 Z' s* V9 C7 _, v. k+ [
8.如何避免*mdb文件被下载?# Q/ s. M- r% h1 ^; ^ R, K5 L+ b
% b7 j; W3 z; n
安装ms发布的urlscan工具,可以从根本上解决这个问题。' p$ o9 R8 c# ]( H! L% }9 |4 C: C) F, L
0 y ]8 }7 S$ l9 V* ~$ _同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
% P/ ~4 l- I; m. B& [- x$ h; S, C( v& n: O) _0 s% ^! H
9.如何让iis的最小ntfs权限运行?% b i% V, L) h( m
- v4 Q' k& C- V3 u7 k* H依次做下面的工作:
/ [! |6 s5 M+ F" }! Y- b8 v5 N2 ]& h3 n# e7 H
a.选取整个硬盘:8 f9 n( I, U" I: G
" B6 n2 J. C2 y2 ^; jsystem:完全控制" u# b; X) n, Q9 P$ f" D5 F
. o; c5 k5 t2 T9 D5 q5 _8 [+ Q9 l
administrator:完全控制
. r# _, \, O2 |8 G. J+ o& d& h- Q$ h+ C
(允许将来自父系的可继承性权限传播给对象); n- {; m# Q5 n4 ~! Z
+ ]8 e3 {4 b$ L4 L' z! S ]
b.\program files\common files:6 v! M9 X0 _8 C' p% p6 l) x
% z5 K o9 u' b$ ^everyone:读取及运行
K1 X1 g7 w) \+ i( o+ Y- h0 v: E/ U6 O9 H6 f8 ?' r0 A2 c
列出文件目录2 {2 G( T- f; r) q! P$ b
3 Q- B/ G& i2 L3 S, W8 r6 X0 k
读取; x: j9 O! Y6 [; f! a
2 W0 S4 I% N( r) U Y2 A$ e(允许将来自父系的可继承性权限传播给对象)
% H0 j* `! B" m- o/ r O
6 x3 @6 S1 t+ C( C& q" Kc.\inetpub\wwwroot:
) a0 H& L" m8 R3 Z( S; |! i
, [& F7 ?4 q+ j, Wiusr_machine:读取及运行
_- ^$ b" y0 ]5 m4 O0 R: c( @9 t" Q. U
列出文件目录" U$ g, Y0 }* z1 X0 T7 B$ g
) X& [8 D( O" a# Z读取
1 O9 q) C1 i9 W/ c( k5 C" N+ M' A5 t4 z& f
(允许将来自父系的可继承性权限传播给对象)1 I5 U% R0 {8 R/ {& k1 J5 n/ s
; E# ?8 i% l* A1 D
e.\winnt\system32:' W: F; s% }; t+ H+ T! p( r5 n
! Y4 Q5 T2 Y% z+ a选择除inetsrv和centsrv以外的所有目录,
7 |9 \1 |, M5 e4 j' ]' P$ x: N2 H
5 C1 P5 c; l8 F去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
) h, P9 N) S/ B: G
3 d( a) m% {) E" U9 {f.\winnt:
! A2 l# Y! v( n7 a; T5 l
# ?3 _! r1 y, R) Q选择除了downloaded program files、help、iis temporary compressed files、4 l% j/ `, @7 s; L
$ c- ?1 i! G$ y
offline web pages、system32、tasks、temp、web以外的所有目录
) d7 B* I& U' e" m" B$ k8 O& y- c( ?4 `6 W; Z S& D$ U$ r. i
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。4 J# {" x6 Y7 S; E L, s6 `; z
) H( M+ e$ }5 D, \5 S- p1 R* B
g.\winnt:7 S3 U% T, v# U* i/ ^ m3 V
+ S( X7 n3 I' X v9 @; G* yeveryone:读取及运行9 l. ?1 l& u* W* i# u+ S) |
8 l* Y o' S2 E# y, O列出文件目录& i5 L* V q T( H
! H4 o% U6 t$ P% i4 k/ ^# [
读取
! s; `2 q) B0 h
$ P/ `8 j7 |) A3 m9 s(允许将来自父系的可继承性权限传播给对象)
1 v6 A% x9 l5 U5 _0 Z6 {( U* c3 G q5 p# u* b! F$ a
h.\winnt\temp:(允许访问数据库并显示在asp页面上)4 `" t$ e( u! [" O; Z. }
8 q' f u7 V3 u+ V. J+ c, jeveryone:修改
- h; m/ n K; d
/ j2 J' `$ h: _8 Q8 y(允许将来自父系的可继承性权限传播给对象) g- O' O- P$ u8 V: E
8 X, c- z- y B9 Z/ A# @% [
10.如何隐藏iis版本?
+ J. i0 K5 j/ Y3 g3 {
# w H4 n5 n0 N6 l一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
2 N4 v6 s& {2 M+ g- H# X. y% P* i
iis存放IIS BANNER的所对应的dll文件如下:
/ @3 ]4 `$ {/ u G
7 L* W/ Z3 Z! B% E3 gWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL$ x$ s5 {1 l* V" }- }
3 a$ O; ]! C. R: q5 a8 V
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
4 {/ c, p& R0 @$ Q2 C! [7 c. X' ] B$ q9 |
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL* _! H# X8 o0 L8 J
( b9 v2 g( ]0 G
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
+ `. K& L6 C0 H3 `7 O9 `+ K: \1 m2 j* k9 |! J% A
具体过程如下:
( l6 o: K! V) U- ?& L6 U7 s( B. b- ^( M! D
1.停掉iis iisreset /stop4 _, A6 ]/ e: {5 }8 p8 B, \
1 W* R% e# }4 V
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡