TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?/ [: o6 ^& ^/ i4 A5 z. c2 \
4 k3 r" M" p. K2 w" j/ p3 g) l修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....! b5 V: m! N+ Q! {8 N
/ k$ K, p3 w7 V& V2.如何防止asp木马?
4 X$ r+ G3 p0 M( G2 j5 Y6 l
) Q i3 F& r, y7 _! ~基于FileSystemObject组件的asp木马
% \3 `: ~7 \+ m6 u
/ t. j( p9 Y3 r& K3 j) t' ~cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
2 g7 I1 a4 ], A0 O! R# W+ f! Y) J9 n
7 f0 j- Q D2 M, |. eregsvr32 scrrun.dll /u /s //删除
/ H+ j8 d( s, U8 Z+ g
; L# t" w) j3 P% _3 p' L4 Z& m基于shell.application组件的asp木马# B( Y* e6 v- E: \5 t! a
0 w6 A" s5 Z+ {' s% `; Jcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用8 g/ [% @4 K% q4 c9 V6 ~
% L, O# e1 B1 M o4 \
regsvr32 shell32.dll /u /s //删除; C- q3 X# S8 w) a3 n
: C9 ]1 u9 v. q3 }* W) F3 f7 d/ k3.如何加密asp文件?
- |; l, g1 F) h9 x( O1 g2 w+ c4 K3 j$ u$ C0 w
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。9 F" }4 N X0 a6 z. k
( t; O1 O( r1 l, Z+ G) m
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。; y9 b2 A. F) m0 K8 ]3 b5 x% G/ B$ F
2 ` {/ D9 [8 z) `3 A- E0 |
运行screnc - l vbscript source.asp destination.asp
2 I+ i" Z- y9 i" z3 e: i
% P/ {$ H7 h7 q9 V; U+ ]生成包含密文ASP脚本的新文件destination.asp# R, f1 _9 _. w, V) ~& B( y
) f5 g6 o2 X; y" d8 r用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了# x4 p/ A3 U3 ?% x2 Q/ t
; j6 L" Q4 H, J) s/ D但无法加密中文。& A* i5 V$ _, P8 V0 E: [
: E- O* K0 i' G4.如何从IISLockdown中提取urlscan?% o$ C! B( q. @$ [7 G
+ ~) C. d! }5 f0 ~6 f0 ~iislockd.exe /q /c /t:c:\urlscan
6 E# Y: V7 B1 s- ?* s) j' v; g K+ ~% @% {0 e) Y0 Z; ^! Q3 I
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
% b+ F! Q+ f5 d+ U" @' o1 X: d' Q* g9 l" Q" l) Z
执行/ I" [+ } r& I5 J
+ k! e2 R: G$ V, d( Y9 G4 vcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True6 {0 z% Y$ Y, f
_6 \% V2 g/ y3 B7 M5 [最后需要重新启动iis7 _4 c/ Z6 n8 h, C" o
( Z5 l! Q9 c' V
6.如何解决HTTP500内部错误?2 `) s" Q" Q' z# A- b" ~1 @
; X3 n* I6 K4 S7 n% Z( _5 ~
iis http500内部错误大部分原因
" ^8 p/ {, U) u: ?! h
* d5 ^' e3 W- V# F. g2 K主要是由于iwam账号的密码不同步造成的。
- K8 O" f1 N% J1 a U& [5 a- \8 e( J3 a; F0 T, B* Q* A0 \) L
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。; q* ]2 D: [% _: w. m4 F/ \8 `
/ K* H* c0 T1 A% k5 ?执行
# K( {2 W0 W2 t7 Y% {3 p0 g
e+ n/ @ n8 E u* z/ `cscript c:\inetpub\adminscripts\synciwam.vbs -v2 I0 h0 ~9 Q5 J3 c, s
u8 P* R) f w, h* k6 K7.如何增强iis防御SYN Flood的能力?4 n6 ?: P. p3 b: u: | j
/ i& p: ~& j4 A; ]
Windows Registry Editor Version 5.002 n% q8 P# M/ ~& |4 _; c9 x
- G4 \, |" f1 J" Z[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
% ]1 J$ [8 ~4 Q' G0 o: \
- H5 Z* Y$ m7 g5 a! O! D8 H ~; P e'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后- ~- s" K( ~) G) X
9 z4 k% m# ~, l7 d
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
3 Y) }% e& K" y+ t1 n; I. R
3 R/ D X) F( Y) p'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。: T5 y& @6 S9 ^( K$ B8 _ w
6 b7 X6 |3 p! P. M# E" i# D"SynAttackProtect"=dword:00000002
; a- u2 Y+ H; f* a, M2 J4 u8 C3 m- ]* R
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
0 q/ t- e8 B4 S" }2 k) G/ M
1 m! W; X0 r) S! U9 l' y! h'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。2 s5 O# g2 `4 b- ^( W0 T. n- _! |- c
& P! v3 _% n3 m. Q) q: g$ V9 ?) n
"TcpMaxHalfOpen"=dword:00000064
1 @% B4 X3 x2 M: F P5 R; @
% o* z3 c3 W! R3 {'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。/ x# y6 l5 {9 c9 o6 G4 ?
3 ~% ^6 L J. `- {"TcpMaxHalfOpenRetried"=dword:00000050
7 i, e8 F$ t4 k9 F f! M" s# Y! j' l: ^- v. |
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
9 q1 N) n! a1 Z$ v% T& ]" V1 M7 g y/ [3 o) g' ?
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。5 \; |: }* S& [4 J$ E2 K p& }
4 ~$ D0 _! V3 @+ P( N3 s! t6 Z'微软站点安全推荐为2。
" l5 n, ~ n, T
& y. l; |& m5 ]7 a0 r& E"TcpMaxConnectResponseRetransmissions"=dword:00000001
. E: m/ ~, A& y. F! B$ _# X/ J7 C8 e0 m
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。) e0 Q; B( V& c$ D" a* r2 u9 J* f! o
" N7 b& X1 A# T6 i8 X4 e* R/ J"TcpMaxDataRetransmissions"=dword:00000003
# W- Y1 N( A. f' Y/ A3 F
' C2 u( u) D: ]! G7 Q; |9 w- Q'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
9 {7 `2 ^* B# M$ X- E# N9 y7 P$ g) L. R, l% p
"TCPMaxPortsExhausted"=dword:00000005( l! u9 e8 _) q! {* @
! z. E. c9 Y9 y9 m6 V7 N
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
+ F) Q3 S% [" q" D) W
& I# @1 j/ b! e" C$ T2 V# w7 u. h$ h'源路由包,微软站点安全推荐为2。6 u4 D0 t# O( c6 V) @$ s" I
8 J* Y: L5 d/ x2 P& ?8 ^* |9 k! r"DisableIPSourceRouting"=dword:0000002
: O/ c( b( X1 E; k, P- H" Q+ s
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
: G, p( [: d1 Q3 S9 f4 |, e* Y+ s* ~" D4 N& N y
"TcpTimedWaitDelay"=dword:0000001e
( z U& b) y& P" a: z. C* j+ o+ j4 y7 d) n
8.如何避免*mdb文件被下载?( p/ ~0 h+ F( K- M2 g, D
3 e" M/ B/ Y% ^0 |/ z安装ms发布的urlscan工具,可以从根本上解决这个问题。! I: d0 |) f9 e! V" U5 M( d6 I
& ]. K& b8 g2 E3 \' L- M; z同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。+ d+ D' r% g1 {9 O) J ]
: I8 V* j' |9 k6 _: b: v9.如何让iis的最小ntfs权限运行?( L7 S! g. U7 z& R1 X; V- u, A
: b" U9 g; ^* \0 @
依次做下面的工作:
2 Y9 s- @$ @9 k/ j. `5 z2 W% \4 i* X2 D Y7 N0 |0 `3 s
a.选取整个硬盘: O0 x9 A9 U6 C7 a+ o
7 d6 r( g" G. S
system:完全控制! w3 h; Y, I& M' C
- r9 m; H- `- z3 P! H
administrator:完全控制
3 _* s1 F& D/ Y- D* ?. ?8 @! v0 h5 ~7 |. m
(允许将来自父系的可继承性权限传播给对象)
% A" s8 ?3 j+ A
* Z* R$ M7 F; Pb.\program files\common files:
1 E( [6 s! ^+ @- J9 y9 V
$ O: W7 _& L0 B$ B0 c0 L8 Eeveryone:读取及运行
4 h6 P) ?5 Q( b- W8 e% U: J' \- l+ q8 T+ g; H: }4 e: x, e
列出文件目录
# W4 O. P& b* G0 I' k' m# K$ D+ T! O. V9 m% c/ W
读取# Z9 l9 g1 F0 y: N
$ G* Q T$ R& D
(允许将来自父系的可继承性权限传播给对象)
& `" V) V. M6 n- t. k. o
0 W. D9 h3 U- l: p% o ?c.\inetpub\wwwroot:5 a8 q/ b- M; M2 ^* W
. _& z# q! c# G' G6 ~1 e1 x/ x& B
iusr_machine:读取及运行2 Z u. S, L0 B# s5 |
7 ~6 Z2 S( F0 u \$ N ^7 T& E( `列出文件目录( B* b; w4 S+ F& X9 A+ u7 _7 O
, s1 i; V/ W" E2 r7 c {& y读取
* |3 Z. I6 x4 i
* Q8 N7 T$ c Y(允许将来自父系的可继承性权限传播给对象)2 l ~' A" X R- u. T6 l% z
- I" U) M) g Q6 r; `( [6 a/ Ne.\winnt\system32:
7 b' Y" \7 z7 r- c r0 g, @
- i$ _- S1 `' E* ?' d1 z4 z选择除inetsrv和centsrv以外的所有目录,8 W( M A( l- C$ {
6 @: P: @8 d8 n: w9 H- z
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! D3 f& r0 P! M0 X a: c) g/ k; ?2 w
f.\winnt:
8 F/ P4 T3 x5 {8 q. f8 h6 I* W( x4 t5 O7 S7 G
选择除了downloaded program files、help、iis temporary compressed files、0 R( [9 w' g- M6 `: u% D* U2 o' t
% z$ U) w* S6 m0 Y, q& R5 h+ Doffline web pages、system32、tasks、temp、web以外的所有目录
8 k- K! M4 p( j( {6 S9 g' F' w$ a) J3 C. T3 \! L" e& o
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' Y+ Q; b# i2 q/ G/ t
9 }8 V! j- ?. P2 Pg.\winnt:
6 Z8 L: T0 g' _; ^% }" A6 n' x7 W( D" l2 t3 z$ b" a: S0 ?
everyone:读取及运行# E' C* ?" o: p( z7 C/ i3 G6 j$ P0 G
% g" k* F6 z- u/ D. {
列出文件目录0 w, w: Y1 n5 N4 ]" {. F$ J
1 d9 F: A( C0 U' T6 D# F/ f读取3 }' i- ]: T* j: ^
: R9 j4 D c- n& {* m C
(允许将来自父系的可继承性权限传播给对象)
* ~& G$ \$ n) D) G" g0 B
/ _, r0 d& C. ~ ^. [h.\winnt\temp:(允许访问数据库并显示在asp页面上) z s9 R4 }! B4 z1 [: a8 c; R
. K1 F7 r/ l, O7 l
everyone:修改 o2 g1 N; }2 V
% s( ]- D' V4 h, j8 r(允许将来自父系的可继承性权限传播给对象)9 \$ f4 ]5 h' N& ^ b4 v3 l) ~, }4 B3 b
: `) i2 M; ^$ V# W. l" G/ R0 m10.如何隐藏iis版本?/ {8 A- S- W" \7 \# a5 k6 G% i; N
: K. u4 Y/ q. F1 ?一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
+ J% t1 K% W4 O: T7 F% G" E' \1 g3 Q" L& w0 e3 E1 q" b% g; t
iis存放IIS BANNER的所对应的dll文件如下:
3 P' K, X1 I" a# Z: g
8 _- _$ x1 N- m& ~3 |% v" M8 K7 mWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL8 k6 [* E b3 }1 G% }7 N
$ }; G1 ~, ?! ~. j3 C
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
7 f6 v9 Q0 [7 m" E/ v: G: F% ? W' R' `9 \8 d7 F1 s
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
/ h/ s, Q0 l, X B4 x* H0 @6 a7 H# q: q3 M/ h! W9 i
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.05 a# U7 f2 r. @" Y( G4 A5 v! P, M7 b
0 B5 t1 P/ Y S+ j* ~9 A! u6 q具体过程如下:
- V+ i' L7 B$ p& g" C
0 E4 |* X0 ]0 G8 b2 x1.停掉iis iisreset /stop
2 x, i7 q* O; P! O
5 Q( }7 e8 z& p: \4 M! z' {0 _. ^2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡