TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?$ D4 F" i3 g; }& q2 {0 `' E
3 v' K1 [( O2 u8 y8 y修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
* t5 m) C5 Y$ @4 Y. e& ?
- R3 c2 K; Z. s2.如何防止asp木马?# J2 |/ X- b2 _; ?) d
+ i" I# p% M! |& t基于FileSystemObject组件的asp木马
4 n; S# e* u' m* G* K0 v a ]1 ]2 _$ Z+ @' y
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
6 g9 r, \/ T& C \ [3 ~9 z; q8 O) c. j+ q: |! |4 Q: x, G
regsvr32 scrrun.dll /u /s //删除
% K; ^$ Z+ P8 K: Y$ r
( {1 c6 o! W# V) ]! S$ j( c基于shell.application组件的asp木马
- k: z L h# Z, p9 n. o
% t, @ I! _# @, ~& o1 xcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用0 B6 B$ C. x9 i
& J6 y0 V, N; q8 ~
regsvr32 shell32.dll /u /s //删除+ k' W* z) f" _! r. H+ y
+ [! k7 _ V. {1 {# e
3.如何加密asp文件?+ Y6 @ o: G }. u3 n+ _2 i" _5 l j
( ~% e( b+ F; E+ R4 f! |
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。0 a( t5 n4 I& T# G7 _. k% \; H4 Z
2 b/ W1 J% k, f5 X- P安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。6 E, e2 N+ u$ C7 b9 K* k/ T4 t
* p) W# j; z# }" F* ~: y% B [1 h
运行screnc - l vbscript source.asp destination.asp6 h) z$ Y( X* A% j. ^4 L
# x$ v l/ g3 M7 g- o! N
生成包含密文ASP脚本的新文件destination.asp
" x3 Q" x" I5 Q
* x. S! [4 r% l& {4 j' J, D+ T6 q用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了) i+ t% |1 h; E$ Y) z1 P6 }
! r4 c# z$ v& k. A% @9 [但无法加密中文。" S4 G" `3 j0 M+ R+ E0 @2 v
9 S! q3 h" w3 m h7 t2 z5 C, U
4.如何从IISLockdown中提取urlscan?, ?. M% S0 F! j$ E. Q! t
) ?. K* k7 o" o. p- r' M
iislockd.exe /q /c /t:c:\urlscan0 ~; e- p) Z! M$ n9 F L% J
! C2 \0 J& }+ {1 Q) t8 }* j5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
6 ~$ \. g$ q) ~1 r! O0 Q8 ]* ^7 [( a) d, r# Q4 {9 S' p& E1 B
执行0 |8 k: V' H p' L. n/ k6 F" s
$ ]( [4 J2 B" U# V1 T9 O( l" t9 w
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
8 Q# T, B5 b. g; c
, R! u6 J* q0 b4 \ c8 M9 Q最后需要重新启动iis2 g6 Z. j) U: t
! i" c# S. o9 o+ `; M6.如何解决HTTP500内部错误?1 j' N* q Y& B( D0 j( R1 D
' o% m% f$ J" Miis http500内部错误大部分原因
$ U- H C8 G3 l2 q+ q9 f9 O! Y8 p$ [7 H* G- W
主要是由于iwam账号的密码不同步造成的。 o& u; r" t5 ?: i7 z1 F
: O, }$ }7 `0 E: h6 X
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。7 R9 F/ m8 K, @8 O6 r% `
5 x$ G" H- W4 T# C. z; n$ R( S0 l
执行
]! D. y/ B1 F- x/ `( Z, G; i/ u% [# J; Q
cscript c:\inetpub\adminscripts\synciwam.vbs -v
( K4 v5 c3 m+ t" ]4 g. ^4 V' @4 [/ j$ y3 j ?5 K
7.如何增强iis防御SYN Flood的能力?
, E' A+ g: G5 w; d
# O/ {( n; O+ gWindows Registry Editor Version 5.00
" ]# L% O3 v6 L! a/ r) q- ~5 V, ~' E
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters], ?5 s* M, ^2 }6 U% }5 j
6 t, h# R- }7 b5 O0 m) T2 K s'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后' _/ n! n) R& S% _
: b; `7 o! [ z0 n
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
. N! g3 n# R/ q' e6 a
- `5 f5 Z7 n$ u2 q'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 |2 }9 ~ @0 }2 e
2 f; x: m( P7 G9 {6 D" D" W- ]0 v3 |, f
"SynAttackProtect"=dword:00000002
% P |4 l9 j# [8 g+ y! ]+ J' L* e8 y9 q% N9 }8 i
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
( J- p' M! l7 R* X4 p( [) N o: @
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。3 {# @3 ~9 e. }5 B
. t7 y8 u* Q8 ] [; n1 o6 e7 b
"TcpMaxHalfOpen"=dword:00000064* n( {$ ?+ l, G- e. a2 Q! B* r
+ S; b0 Y2 O3 E* ?! ?; L1 q3 H'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
; [+ v6 }4 l+ ~4 |9 k8 }8 {6 @9 H& Z' c' N! ~8 j7 i3 r! R
"TcpMaxHalfOpenRetried"=dword:00000050. E# z9 Z6 P8 B5 ^0 I/ P& V" o
) i* h0 L& S& L: l
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
8 E6 h# v) T# x! d/ j n9 P3 Y; `0 e; F- Y; k$ N7 B$ B5 d6 X
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
$ @: N3 K1 y3 p! C1 W' P
) a+ [/ ^) k& L( e'微软站点安全推荐为2。
4 s; L, j. O1 r0 V# ?4 }; @% l% F# o8 P1 B5 i& |5 L6 d4 E( K
"TcpMaxConnectResponseRetransmissions"=dword:00000001
0 z! Q+ y4 ? Q- L9 J7 `8 Y5 a9 b, r# I4 m$ w
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。# {) c- S5 K" k4 X+ e
; ^3 [( A6 f+ O' b8 C8 E; i% c"TcpMaxDataRetransmissions"=dword:00000003' t: I0 Q7 a# o; S D) [: }5 O
7 J& L; s6 d, z6 ~" P2 m* m
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。6 w% l v$ H- p& @5 ^( T, [3 }
$ G+ a- h5 J# h3 Q& r7 v6 Q2 T
"TCPMaxPortsExhausted"=dword:000000053 i: w( A. @4 p' @; `9 p
! T4 d7 z. X9 a8 u- S'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
- H2 V: C) d; L4 ^5 k9 X0 r" P4 q/ M S/ ]. g# o
'源路由包,微软站点安全推荐为2。5 j$ q$ X. ~. @/ }! y. |6 `; W
`* r4 F6 J6 x7 M) i) e0 P+ A! j
"DisableIPSourceRouting"=dword:00000025 R( P: }" D# { W& P
( Y9 F( W( A$ L) T- P
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
. e3 v% c/ J$ p# c9 _3 z6 y' V, B3 ^4 x5 S# L8 R$ a6 X/ i t$ B t1 q: W. }
"TcpTimedWaitDelay"=dword:0000001e8 T8 ~8 |' L0 ]5 L# n
4 s3 ]2 Z, \& o. z2 O# a
8.如何避免*mdb文件被下载?
' o' c# T* H$ u: B* ], j4 C5 J( D. n/ a1 Z$ \1 a7 Q7 p
安装ms发布的urlscan工具,可以从根本上解决这个问题。
u: \2 |' [1 c0 l5 ~7 x. ~, ~: k K D/ j% a2 G4 y2 H/ ]
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
; P) t$ E1 o% o
& P% ]& S9 y. x: b- E9.如何让iis的最小ntfs权限运行?- m" k' M9 E5 O3 q, P8 y
/ Z& c) e3 f- L5 y. q依次做下面的工作:' M$ H3 m: q) a2 |
/ ?5 E- ?4 S$ N8 ma.选取整个硬盘:8 \9 B3 K5 Z, O. ?# K% w
& ]' p& ~$ j* {0 U. ?system:完全控制! F( V2 x- e' h$ Q/ N& p
: A9 G }# h7 S( Radministrator:完全控制0 f2 z/ F6 H# c9 x& v6 c
' t+ Q; Z9 E. N* i. v& E5 F! F
(允许将来自父系的可继承性权限传播给对象)
5 S+ b% a8 A0 Q! c# w P) Z1 T+ C4 g; d: _# s
b.\program files\common files:
! k4 S0 c6 M: d* c. k6 j3 y
, _1 k+ U! l' jeveryone:读取及运行! ^+ J# f8 A. D; @1 [- _
/ X0 ^) q% }! h3 ~
列出文件目录* C( O$ L! E6 h# |" l
' g, T# t' k: K( W$ X8 Y8 g读取
3 @5 S- e5 t2 ]4 {$ ?( @
2 k9 |4 o) v) A* U(允许将来自父系的可继承性权限传播给对象)
: ]5 F4 q. ~4 a! k4 h6 b' n0 r
6 W* `% w7 U8 n$ C7 Y: E/ Ec.\inetpub\wwwroot:' J( M! w1 Q, X* B8 @5 M2 a( v
& c9 t2 E) x$ `" [* N! T. Viusr_machine:读取及运行
9 F* L3 C7 r1 F) M
- Z, _3 d8 O. p$ l( \' n. g' M1 Q5 G列出文件目录
* R) a2 H, `9 d" [4 y. w
! x6 }* E- W6 q8 G5 T6 X$ U) p1 J读取+ q9 H+ I+ Z1 V8 R$ K
O Q9 i& n9 l) y( K(允许将来自父系的可继承性权限传播给对象)8 m: E+ W! K9 H1 E# w! s3 u
: N* H/ o& [$ @! z" {* L; ~) l9 A4 S9 Ie.\winnt\system32:
$ v& W. f# {) h% i1 J4 \) \. B" [3 G2 Z# s, i' X( N
选择除inetsrv和centsrv以外的所有目录,: d$ L3 e4 B5 L4 a8 s0 {# |& f2 r4 ~9 k
8 w1 ]8 _4 R2 ]4 i! O5 K8 [2 }去除“允许将来自父系的可继承性权限传播给对象”选框,复制。/ _( G2 O" J y7 u
6 K$ v4 h: Y/ D
f.\winnt:
9 l6 m5 F; g: S3 g2 X; N( L
1 t, Q3 O. O; d; ?+ v, A' E选择除了downloaded program files、help、iis temporary compressed files、8 @3 j! j3 _& E/ H5 K% e
; t, e( K5 L, E) H! e6 ~' }1 P
offline web pages、system32、tasks、temp、web以外的所有目录, E2 r2 M- H7 t) b: o
9 b2 ~: R' V- |0 o6 m9 P- t5 X7 O$ t去除“允许将来自父系的可继承性权限传播给对象”选框,复制。& @: `# ^2 u9 T
! Q* B1 m7 x! \' z, Qg.\winnt:( {4 \* o& A" O3 K7 m- ]6 w5 u
; v: q u/ q; J: d% W3 P- zeveryone:读取及运行
; W, C- H2 y! f: n* z* ?+ b+ B& T# K
* Y8 W' [% ]2 l3 u1 ~列出文件目录
: J3 V. y# s1 L9 q/ o
# g7 S ]4 k4 v- e* @1 u读取
) }% j" ?; J5 c* a. B' U0 ?- v8 a6 h- s7 `/ K2 E) y& t
(允许将来自父系的可继承性权限传播给对象)
. P& \) I8 Q4 ^$ i/ G$ b2 @# W2 z+ C5 h* J
h.\winnt\temp:(允许访问数据库并显示在asp页面上)* c# ]) T% U; ?$ _& S
* C! ]1 b! q) C! K) [' F
everyone:修改
3 ]. @9 C8 ^* e9 }, G, R+ [ |9 `) V, K+ f7 v
(允许将来自父系的可继承性权限传播给对象)
1 ]- z& g2 u) T8 F3 a1 c! i4 K" ]% k" Z a% o
10.如何隐藏iis版本?
1 y) @, s$ F! q1 t- `$ r9 C3 I) P% b
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
7 E( n. G/ Y1 i/ w
# {/ t x2 ^! Q& ciis存放IIS BANNER的所对应的dll文件如下:+ H1 h# z. m+ m- X
. L+ |- J0 x0 {& s6 aWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL" ]2 ^. Z2 n8 r6 q% _! C
4 O5 d1 p( |/ w2 \) IFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL& O7 k2 H, G8 j/ s w
. `) J4 y2 h" V$ \' f- H
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
4 ?" r/ Z% w! x% g+ g& Z* c8 r
2 s1 M. Z. n- v! H% @" }你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
+ C5 x3 f- x/ u: A0 o: l2 \
3 k, r7 T& o; ~( ^- ^具体过程如下:# _+ ~ o f& Q
7 E: a7 ~5 p+ j" [7 p( I# l
1.停掉iis iisreset /stop
( j' B7 D! P# I7 f# W X. t% g3 G4 X$ P$ x* M
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡