TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行? o: z4 k' k; C) y0 ^! w
' z1 ]$ O( y6 e8 u. x' g* P修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....' ?2 k7 c5 w& U3 ]1 j& t
: a$ N" `# N% a. ~1 \% q2.如何防止asp木马?
+ ^+ e7 h& T5 e# i8 c2 d
7 [2 D, z- P" `3 _' o/ I# m基于FileSystemObject组件的asp木马
# } I8 [* w7 b1 W. f' N; t
: S. z" B; S$ h! O. v0 bcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用+ A$ R. L. } ^( ^+ c6 _
! h5 t4 q; b- M9 `2 P2 Y9 b
regsvr32 scrrun.dll /u /s //删除
, x9 q/ K6 p6 W9 i, T% [" w* Q4 ~: e0 n; Y* |1 h
基于shell.application组件的asp木马
3 _' J0 Z# L3 ]
$ U9 D2 z- P) J, bcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用8 @( p/ K h$ @: [& o) y: m$ x8 {
% V6 b* U$ _/ Aregsvr32 shell32.dll /u /s //删除
" V% Z% z2 _( v' E8 `
3 W7 p1 ^+ [7 {+ L M( {& O3.如何加密asp文件?
1 O% X) n" ] k8 B* Z% P% \/ f. ]- s6 h- N7 V, W N
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
3 L9 o- E( m& H4 c: Z8 H+ N1 H# w9 J) G1 i0 \
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
& q8 C& x/ n9 a( E- y! H/ {, p' Q5 I( [( g
运行screnc - l vbscript source.asp destination.asp$ s! e* |+ }& t& J* t
5 s; O: d9 ]4 \: M3 A& y2 n生成包含密文ASP脚本的新文件destination.asp
* A0 q% e1 K2 V$ E; ]8 T( c1 o
1 x9 v1 q4 ^- A用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
9 G. H+ J% ], _% ^! w" e9 K/ k' w! b6 x' a. z
但无法加密中文。
$ \3 ]" ~+ U* \ P. n' Z6 \; J
8 p/ a! a7 V6 b Y4.如何从IISLockdown中提取urlscan?
! u! d0 w! m% B+ Q+ z
- R; q1 H& J6 C# D d& ciislockd.exe /q /c /t:c:\urlscan
/ Y |: u$ D' C
. X. b: Z. d# p7 e9 Q5 e5.如何防止Content-Location标头暴露了web服务器的内部IP地址?" { ^- g* D& K) c9 T
4 f+ z s# g! C- u! f
执行8 F, J2 p y2 l( z9 q1 {/ D1 u6 u
* E3 W) w' }* R y6 Ocscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
2 P6 K" `$ G% m- [3 k2 v/ R" i
最后需要重新启动iis6 P0 S5 ^ f) \
# G* |7 c' q) z6 Q3 N
6.如何解决HTTP500内部错误?
; k# X* p/ }- k, R5 K
, D& C5 f+ u7 z& c8 @iis http500内部错误大部分原因4 t. B. H; E, f% @8 L- A' ?
- w1 P# c* u$ B
主要是由于iwam账号的密码不同步造成的。
6 p* j5 R3 j( r3 c7 b, H
$ v& ?) P0 ?8 g7 q/ l9 D4 F我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
A9 n# M+ O% X0 p# Z, C2 ?( H" J7 ^2 O; y1 W0 Z7 Y J! c; f
执行
, v: }" n( }* u$ S7 t' _0 |% ?
0 o% r4 E2 f: B/ rcscript c:\inetpub\adminscripts\synciwam.vbs -v1 T, N2 I- q) _' K
% |% X- u+ v& O T3 b7 H7.如何增强iis防御SYN Flood的能力?
# Z% t( A6 [* x: q. b( n
( ^2 f- Y ]- GWindows Registry Editor Version 5.00
1 {5 z" L2 B$ j% u. B8 B F* R' V% x( U: m2 G; q6 E
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]- k+ i0 A- g6 B2 K. X+ e0 C
" N" [. v+ Y& k2 l) J/ E. S5 o- u
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
7 i6 ^& `* o1 W
* U0 {: `) w) P# M9 \) p/ p! q) c( d'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# h: u6 ]) Z' y/ Z% J- P) t$ z/ m7 l% n- Q& }3 N
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 E( C3 |, {! G4 {7 B
$ G; }/ f6 z' v! {# I9 Q& {! S% S9 {"SynAttackProtect"=dword:00000002
$ ~0 q4 r, x! J9 T8 ]2 |; g! |- j/ T7 k* n* B
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
! k5 I: P& s: r$ V! z& S5 f
0 \8 G/ f5 D! y" x( Z! f9 E3 S/ O3 x'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
) ]) h! K+ O z) T7 o s5 G- Y& j: X# J. r+ X) l
"TcpMaxHalfOpen"=dword:00000064
# ]: R) {. q4 b" B
. }! ]5 _5 s8 b- `0 N+ A) a; }3 p'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。+ l3 x! |* _+ K2 z$ }
0 G9 k m! L+ `! N3 P6 ^"TcpMaxHalfOpenRetried"=dword:00000050
! c' a# c1 ]! ?3 _1 R) i8 p; _4 _( L1 S5 z3 w7 n
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。" E7 h) Z5 z" B* W
; a* \& S% L. E: l
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
! u- K5 E# ]* a2 J; d
3 o/ a, X; c2 f3 w' i# N) c6 ^/ T'微软站点安全推荐为2。
5 W0 B" E- B1 ]6 h: p9 A% J c1 T: ?1 }0 w" @. V* c
"TcpMaxConnectResponseRetransmissions"=dword:00000001
1 C1 y* j! f3 l. s" I/ L4 c9 }
! L0 D8 f- O! E! E3 N'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
4 p' l+ k* d, ^7 v& ?7 j( v! H# I: \' W: y8 u# l
"TcpMaxDataRetransmissions"=dword:00000003$ F, r0 x7 `) x+ x1 T. u
8 A6 T) d V+ Y'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 M9 C U. _- o9 O* \9 q$ [
0 q t" T' m- ?0 W0 } ^& O1 ?+ O
"TCPMaxPortsExhausted"=dword:00000005
: J q, R4 z9 g- j" I; N
+ N* Q$ S) M3 H, }'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的9 X) b! V, |5 V+ g2 g9 w7 ~, [! |& D
, ]/ N$ \* X, [
'源路由包,微软站点安全推荐为2。
/ |3 \2 x: {3 c$ b: x+ O7 B" e
3 L; y: v- J4 S# q, ]"DisableIPSourceRouting"=dword:0000002; t8 |2 I9 ~; D& R, y+ |/ A L
( c- e. a# W7 Y5 N+ O/ s, X8 M F'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
* o" _4 H* q6 H( R* @ h) p: ]1 X/ }! j) K5 d% |
"TcpTimedWaitDelay"=dword:0000001e, ~ j/ J% a5 n; M3 Q
: Q& v5 j- v, @: Z( O4 [3 K
8.如何避免*mdb文件被下载?7 X& m* I$ u0 a* g6 ~
' m& G& Y9 {# @4 x. x9 S r% _
安装ms发布的urlscan工具,可以从根本上解决这个问题。! q9 @3 w% a; {
1 e6 }/ c: g1 m; ?) ]$ e M
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
' ^0 E" Z' I3 X9 g. X' i, x/ D) e- g; z0 J& w
9.如何让iis的最小ntfs权限运行?
+ h4 e, a* b4 U4 f( Z
_( ]% |0 u% e" b4 q. P依次做下面的工作:
* n+ U! y+ d* T/ q; W8 n" b# O! W( U. P. M$ T$ F
a.选取整个硬盘:
, ]( z, C3 ]- S/ y) J C# N3 r7 X6 w& i6 ^- @- Q& c
system:完全控制
H8 ]- r, v+ q
( ]8 v' k1 U* R% n. H! H5 yadministrator:完全控制
5 a7 B# P8 Q" B A6 W: _! H; ]
5 n- z1 [" t; Z1 v(允许将来自父系的可继承性权限传播给对象): w+ x2 K$ Q+ Y) w: V( _* s8 q
$ M! C2 h: [2 h- W# bb.\program files\common files:( x# ]- ?" J0 ~0 |% r1 ^! k0 ~
; p. v! L; @+ T8 i1 e l" Weveryone:读取及运行
A5 S" d# C5 U5 T# o6 E8 p2 L& u! [% e% j L% I. _; R
列出文件目录
( w& [: M2 Z, O: n8 [! V% A/ m2 _/ u. w7 r
读取
. c" z6 k) Y3 e. b7 |+ _0 d: H+ ^% q. d# F! ~' O+ h
(允许将来自父系的可继承性权限传播给对象)0 x& ]# N" W' E+ S
$ ]1 u7 I, Z1 S5 [
c.\inetpub\wwwroot:" B% {" o% g% _: l4 y1 S$ k) U' B
* ?* G. q7 o9 o% h
iusr_machine:读取及运行- U0 a( Y( C$ \6 {. l
# N P# ]7 l1 G; d: {列出文件目录: j) Y0 a; L5 v; [ _% h+ H' q
9 L( R7 c4 I/ B7 o! Q# B4 V读取5 S4 O, X3 V P" D
! f0 f7 C6 v0 ~% J( f1 G: j9 x& T4 f(允许将来自父系的可继承性权限传播给对象)$ ^ U9 l/ j* n' v2 `4 M
: m5 R; i1 B) s$ T5 {e.\winnt\system32:
) W! }$ `# {5 I/ r8 {3 [. @) M8 y* `$ j3 y* v
选择除inetsrv和centsrv以外的所有目录,# J, ]7 g0 U) R2 [
0 W: R0 [# r$ v q: z" D
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。8 u$ k6 S$ |+ [
/ q" o8 p- ^6 H" k
f.\winnt:
Z. I: Y, D! ?2 E* n6 N& N2 f" ?7 I+ S' M- ^ b7 H7 a: f1 p
选择除了downloaded program files、help、iis temporary compressed files、
2 Y, i% b, v6 V9 F W/ h- p. F
; a2 @% T, O/ ?7 R I3 Z" xoffline web pages、system32、tasks、temp、web以外的所有目录7 C3 {- y6 d+ M- n( _. a
i$ G; S$ M- E7 q. h# m7 p" @去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
. g- V7 D7 H3 ?% B. u2 O! W8 U: h4 L2 ? q- F6 w) l
g.\winnt:3 t! |3 o1 }. r$ s8 {, o2 @
$ y; J& a J0 \% V
everyone:读取及运行
. y9 s0 k" J1 K% K! H
, a: u8 f4 Z1 G& A列出文件目录
# R- Q7 q. s& ^! j! H; s) w/ W8 ]6 ]* [ i
读取
: M# | h) x5 S1 f
/ e' ^4 c% k2 A9 P7 {1 F. |(允许将来自父系的可继承性权限传播给对象)
y- i% M: c" E6 c7 |9 F6 {1 C) ?9 a& o4 s" J/ W% ?) g# U+ }
h.\winnt\temp:(允许访问数据库并显示在asp页面上)& y: S4 n. `" g9 S; r
1 g' H& O6 V( j4 |% ^everyone:修改+ d; I f) V) z( e6 n T# }- e- ]
, l) g& p0 V c0 @: a Q1 V) Z# R(允许将来自父系的可继承性权限传播给对象)
* u: s C0 ?8 D- m+ |1 L7 m
/ U( h4 C+ H$ \3 W% @10.如何隐藏iis版本?, y4 T+ |2 U* h4 ^. e; l$ p
6 U, S/ }" `5 ]" s一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息- @$ f4 U/ ^* Q9 E5 n
A' ~, W% P- N0 {9 Biis存放IIS BANNER的所对应的dll文件如下:
: Q. u( F3 y I% p
* T: N) z: c- e- F \: o* Y9 PWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL$ G- C K c2 x6 I4 m3 I
. k0 F9 ~0 V& Q& \FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
; ^+ R8 E% @# S" \8 b- M5 f: D4 z* g* N- a- D0 k
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
* A- d5 v8 Y3 a( I
; \- V2 T- _/ o9 @0 m你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.01 G% E1 g. X( V+ L
5 A* T9 j# a* p; ?
具体过程如下:9 B/ c, T3 j! }) `
) X7 l5 U9 O" B8 S; ?- K1.停掉iis iisreset /stop) E$ _ s( a0 |* S
" v: _. Y1 R* p3 C- f1 J, f3 ?1 [2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡