TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
$ _" v B3 A" U; l! T3 G& I0 m2 L* ^. d0 J* D, B% `3 \7 ^
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....* o3 o6 i5 ^1 }, b4 o
0 K- D7 R- d5 F- Y; I0 u" A# P2.如何防止asp木马?! m2 O( K/ h1 @, A& z# }2 R0 \
& ^0 X: T- }$ J8 t' U3 z @
基于FileSystemObject组件的asp木马+ q9 Y# R2 _8 V: |% S+ P6 s+ U
6 }$ o5 d' b3 w$ S2 j2 N" R2 D
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用; G4 z/ `, O* J% J) b+ d: x& R
/ D% F" v' T3 m4 c6 W6 I4 e
regsvr32 scrrun.dll /u /s //删除
2 v4 T: t3 z; w' N4 G# s
5 o' h, T5 l- x& w基于shell.application组件的asp木马& w& _" P0 l r9 L6 m# s
/ Z8 w$ g% Y5 w$ n# j! F9 U0 Ncacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用4 r, F2 w5 z. t, }
/ x" y9 ^8 }5 m7 S& Cregsvr32 shell32.dll /u /s //删除6 |0 }4 O3 ^; g1 d3 ^2 K
0 P5 u4 h% o- }& c! v8 G3.如何加密asp文件?7 m5 W" y T+ a, r* Q7 X6 o ]
" ~! H5 X9 v) R$ {
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
- o' X' D- h, b+ K% W
u; u' l( Z1 a3 {& z3 p安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
4 Y7 Q& w; _0 |! ^, k& }( O/ w$ @# e9 g
运行screnc - l vbscript source.asp destination.asp! h, m7 c& R6 `5 T9 A6 n
+ p8 L# L. r! Z8 D. V9 C生成包含密文ASP脚本的新文件destination.asp' s" `# a9 q3 c! K" R7 c
" i& q8 |8 g' t$ Z: @
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了% i1 {( O' ~" e0 {9 c! t" b
4 ^6 |% X5 E3 o& J- ^ m
但无法加密中文。: r" e# _2 X: G% j7 q2 p
: _' Z0 s- e* K$ V2 d! l
4.如何从IISLockdown中提取urlscan?& y' h1 Z) r) \2 U2 y+ R
3 O0 v3 A2 s1 r8 p. `iislockd.exe /q /c /t:c:\urlscan
2 H5 |, {7 v4 R0 F( D8 X
3 Y, j! n6 z$ z% J R9 f9 n N/ t5.如何防止Content-Location标头暴露了web服务器的内部IP地址?8 Y+ {& L4 n3 M5 {
0 m5 F, O1 Q: C- F0 l( b/ ^' K
执行
+ \& u/ s. o$ r. b, `( P6 r5 G' U* P G
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
- ~% r' e- }( ?& L1 W
* L& B" ]6 W8 \0 F& p6 j最后需要重新启动iis
# {% s+ q' p" x4 U/ j/ a2 Z
" v3 r R! @/ [3 v6.如何解决HTTP500内部错误?
6 e+ h5 Y. i E4 |6 z5 |/ K( \( o+ `! l. |0 N
iis http500内部错误大部分原因6 n2 m/ g7 a$ {; x' w7 _+ J, ]
" M: O4 v3 @$ A3 n4 G' z
主要是由于iwam账号的密码不同步造成的。8 t8 n: I% s: i6 I
9 q. {- z7 `) z6 b; |3 C$ X5 f; f( r我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。5 ~1 R5 R+ v; b4 k, Z0 H
0 I& y$ ^. u& m: Z* x
执行" t. U' X9 n) r& {/ H& S5 h
+ Z- d# e1 ]5 n4 L9 _cscript c:\inetpub\adminscripts\synciwam.vbs -v
; R, i6 r+ S& {9 V$ X+ l5 `/ G5 K
7.如何增强iis防御SYN Flood的能力?4 D4 I9 X/ L, S1 G! ?& J
2 N, X' X3 Z8 e+ |' G. C
Windows Registry Editor Version 5.001 D+ f; \8 S9 Q5 N' T
5 t- ~% O. e5 H$ V
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
4 a. u+ t7 M6 K2 {
7 u% ^" O# s( ` }0 Z( S* r: V'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后+ `. N4 M- L, L1 `2 o6 c
* W3 v# d; W- ]0 L( D'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
" V9 F6 d% @! D! Z; W
% B) }8 _2 |8 p) q2 H/ `'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
2 I, ]( K0 H6 Z8 A3 ~$ e6 @. c6 c! _" n9 B5 c4 \! e9 s3 ]
"SynAttackProtect"=dword:00000002
3 [* Y' [; H& t5 O* t
* w& {) ^: F" f& x1 S7 U: s6 l'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
* G0 Q: f0 z3 `; y* f6 Y' Q3 m* O# f9 Y8 v) y4 t5 i. ~' P4 O0 c# n
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。2 r6 @ f6 z' u& B: n- l) u Y4 a
M, V( L: d2 x- I! Y& I"TcpMaxHalfOpen"=dword:000000643 S. K! w, G. A+ e/ M, U8 w5 e
7 `% H1 K8 _& O+ E* ~! t: s2 |'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
/ h+ o( g0 u: @* H8 C( U. {$ G l" ~1 @; A( i; H0 m
"TcpMaxHalfOpenRetried"=dword:00000050
3 N. U/ F, d7 C
" c' T9 @5 }- b1 o0 C4 m'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。, ~/ [# y: \" m0 g4 E# W/ w
. p" V# G2 K2 d6 R2 Y% S e0 M'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
8 t& T& L1 g1 w. r P b& n6 c
, f- I A G. {'微软站点安全推荐为2。% F% s8 Z( x4 R) h7 m, ?- l8 H
* K& E$ Z) p) o# u) U8 k"TcpMaxConnectResponseRetransmissions"=dword:00000001
: ]8 _, R& J* @! m2 X3 V) C- U/ ?0 E$ U& h
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。1 B H0 r, o( n$ U/ e- X
$ o% O# Y5 ]$ E- ^$ N5 H
"TcpMaxDataRetransmissions"=dword:00000003
3 i! s3 j4 a& |- T0 K1 B
" k2 P) I* D+ \" D8 j0 x& t'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。$ [/ ? `% y9 O `
8 e" Z1 L% E7 {/ s' O! D6 G"TCPMaxPortsExhausted"=dword:00000005, L, Q. P" [0 |! _
) f k3 l" m* E4 H$ z) G
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的% `9 V- m1 r W9 w$ r9 H* Y9 r
/ _; \/ i7 Z N( k& o6 G
'源路由包,微软站点安全推荐为2。9 y" Z4 s* ]4 U7 b0 c3 f
# z7 i' q- ]- h" [: e
"DisableIPSourceRouting"=dword:0000002( L; E: k9 B* n* U1 i8 _
2 P1 n. g3 B! ?; f* N% ?7 [: Y3 A'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。/ A9 k4 g6 L8 w% E0 z) L. f
- o% t2 `9 w8 _$ U' n
"TcpTimedWaitDelay"=dword:0000001e+ J. ]) p2 `. _; t2 _( h
- i. ?, ~2 J2 f$ ?4 ~) K' A8 f6 N
8.如何避免*mdb文件被下载?
' p/ j; o. y% _( E8 x; J2 z
" x9 M, F. q2 m/ j9 |* I安装ms发布的urlscan工具,可以从根本上解决这个问题。7 i* N6 Z! ]1 r' C D
K: X7 ~* k" r6 |) \5 g% Y, I同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。8 O; U+ G! O0 z3 S5 _3 w1 M1 I E
; N# S7 F7 Y4 c7 Z
9.如何让iis的最小ntfs权限运行?
8 T' w w: l n% i7 s! \% s7 `
( N$ `6 x i1 A# H' B. w( J z* C! }" ?依次做下面的工作:
& _: R" k) d @- m, t% t4 U+ V: w5 ^) ?
a.选取整个硬盘:
4 H2 O* s1 J: k) e- \8 g4 l" g9 C5 j6 ~1 E9 j5 ?/ v
system:完全控制4 q5 ]* F; A! z! W9 B1 A- \5 R
2 E! ^5 x' Y4 @+ F, L5 Cadministrator:完全控制+ Y K x, h7 X0 i
1 N- \; j1 o1 G! I" J! @( P
(允许将来自父系的可继承性权限传播给对象)
8 ^) `' z1 |1 k5 I, n9 s( @, E, m5 S+ c
b.\program files\common files: n/ V I# u2 B2 `5 R7 u/ l$ X! ~
: ~- p4 C- k3 c5 }
everyone:读取及运行3 P* {# ~& L1 f1 R7 a! V' e4 o
' C5 E* z9 n" Z8 U! v8 ?/ @. h
列出文件目录
0 S" d$ c8 ^% G- K( d3 d. P9 X$ r# `
f Q& l8 x9 k, t读取; _! T% ]/ \' W5 A- E# m( e5 d
3 C6 J1 p7 `- M0 S(允许将来自父系的可继承性权限传播给对象)
/ i2 k9 Q! r' \4 C" Q6 x" s
2 v& W& B' }' {: _, gc.\inetpub\wwwroot:
. _$ N1 R5 B$ Q8 }( M
G8 n# P) N' `! E# e2 G2 S4 iiusr_machine:读取及运行
, c( P3 w& t7 p
( s! p* E( Q8 q4 l/ V列出文件目录1 b/ l7 O4 X, H0 ~( x
5 D) t1 h" {" C/ t8 |
读取
8 N& ^0 z8 G: C6 K
" `5 T: E4 y8 x- s; ]% n(允许将来自父系的可继承性权限传播给对象)5 D4 P2 l" W/ |% d8 D
1 H. p: T# D* b7 W- S+ ]3 }$ s/ `. i
e.\winnt\system32:# M9 B1 o& I3 D' z' p/ I2 `7 p
% N/ ]0 E. _2 t% i选择除inetsrv和centsrv以外的所有目录,
5 o0 t6 q {& H4 [% S) t( f; e" a7 g6 a8 {; |: b" D# y
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
" |/ H0 h( [9 n2 g5 r# {5 D! [# @7 \* I: |$ R0 S
f.\winnt:! D! }6 N) V# t3 x. }
6 M9 `& N T8 s& M3 v( t* X! X
选择除了downloaded program files、help、iis temporary compressed files、
5 Y* [' F8 F: v6 T& X5 T* K' u; C+ ]0 e9 Y1 ?& o. i
offline web pages、system32、tasks、temp、web以外的所有目录
* ^" M# ]# z9 [# k/ _+ g6 Q/ I# ?5 G7 y3 m5 I
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
) h8 j; m6 z) `0 k1 P7 h& m
- {+ V9 v! r4 c# a7 H% @g.\winnt:$ }0 T; J. O8 ?2 g: ~% ^, e
( m( y6 F) I" y0 T- h/ G
everyone:读取及运行
5 ~! O! J3 q3 B! d1 j6 f" ?, e
) a# u- l& R" g* x# f4 t列出文件目录& i; I" u- A6 c) d$ D6 N g
5 a: A! H( g' P7 j3 a
读取 ?" {2 e% ^$ ?! z
7 K+ A1 v7 a ]5 e: P+ `% n
(允许将来自父系的可继承性权限传播给对象)2 b5 e3 @4 v4 T) A' T. ?- `
; ^) c$ U( ^. Q% z1 Yh.\winnt\temp:(允许访问数据库并显示在asp页面上)7 y+ B, U$ @' x1 {
3 ?. c; ?! @% E' K& D
everyone:修改; |8 |; [ f8 ~5 ^. [
- [/ L$ s) d0 R/ B(允许将来自父系的可继承性权限传播给对象)4 ^" E1 [0 w G, h2 s/ }
# s1 p& U% v( ~' D9 f/ I- t
10.如何隐藏iis版本?8 ?% \: M1 w6 ^! J% O
" h$ _3 G& r( u- w! f# P) i+ |
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 R+ E! v. K4 O9 @, Z/ I# _
4 `1 n# d9 w Y; ]iis存放IIS BANNER的所对应的dll文件如下:
: G5 v0 d2 Z' x9 ^. ^, V1 l" x o7 V3 ]
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
6 K0 Y; t; F7 L! j& J b$ B
6 k3 J, W6 J! t/ I2 h. IFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
6 O5 A; Z/ H+ D. A1 s6 x% l
, j2 y, p% V) h0 S9 jSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL& c& \$ x3 l- N4 X7 U
5 g" t) ^: v: m3 [5 ?$ I! X你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
$ k7 O* v. \/ q/ F9 ?: T9 W7 X: Z( C/ x2 M8 a
具体过程如下:
, h2 i% D8 B+ M b2 a0 H( ^* E7 {* ?) u$ g( P. A
1.停掉iis iisreset /stop9 v5 |- L; P8 n7 G) Z
1 c% r; I% l5 X$ ^- H. k
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡