TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
5 S" O& P! J" m. s& v: A
* t" o, `. t- S5 p% O修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
# r8 ^9 g4 w& z$ V1 |0 `
" ]2 |9 k# z8 Z6 T2.如何防止asp木马?( |# X7 W. X/ A' M
7 \0 z2 r- S% }/ o/ L$ M基于FileSystemObject组件的asp木马
+ F; f5 Y# N$ K; B: A* o7 |5 Z/ u& ] S4 I2 X7 p9 q; Z6 \) c
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用% K8 C* I, [7 U
" ^, s, Q, D m% F, _' mregsvr32 scrrun.dll /u /s //删除) a2 L; i0 A1 q) d4 `3 w& t+ B" r) z
+ ?6 `' t9 _) u4 Q) a% n% U& F/ H基于shell.application组件的asp木马
+ ?# m% w4 G0 z G/ y+ X0 G
3 i( i" n( U. W; C+ }cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用- c' j1 V: V. f
2 |. I9 D( F3 A; F) Y: ?( p( M8 c9 E6 I/ hregsvr32 shell32.dll /u /s //删除
7 P1 {4 P8 Y1 ]& \: k" l- q3 ?* x; F
3.如何加密asp文件?
* f) @$ ] [4 ^4 Z! F8 h0 O& ]- C: h: H/ S1 Q
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ V8 m6 S) |% @; M
( F4 h: w' x9 q2 o安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
. V- [$ |& c; N' ?6 W! h& r
& V3 W7 i% B% n e" G. d, T运行screnc - l vbscript source.asp destination.asp* h$ @6 Z K/ n& k( p o1 x
& `; D# f9 H1 _( e% S1 O8 _
生成包含密文ASP脚本的新文件destination.asp. K9 x7 [- h8 Z& I; f0 U
$ E$ ?7 B! H v用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
6 G) q' T7 r2 o. ]) r l% [, P5 ~' h
$ c0 l$ I' U5 U, Q) D6 d但无法加密中文。
4 j H ]# S- T1 ^) r3 P2 E* W, s( f7 n' [8 ~
4.如何从IISLockdown中提取urlscan?
' P# t; C' [ s: a$ R8 ?0 l5 ^- p8 B0 o* B
iislockd.exe /q /c /t:c:\urlscan
; u4 j# c/ G" m- Z! J
# l6 ^, s- ^+ |! |5.如何防止Content-Location标头暴露了web服务器的内部IP地址?- [) v( |: D8 F3 l/ n! |, f
- K9 h: b! E5 r |; ~! o% W
执行/ i' C, b V& S2 }
3 z% P- _% {) a7 _6 N ^
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True0 e5 `3 n3 m$ y) \ q
& g2 ]/ y- ~; f; _5 W4 r1 I) G# \
最后需要重新启动iis
" t, V& R( O- {0 s3 u8 |4 b) z$ H: c$ r8 J3 Z. b7 N5 W
6.如何解决HTTP500内部错误?
0 Z- G( o1 ]( h; Y9 v( |: o/ x5 h6 b7 }0 V- c! Y7 `( G5 W J
iis http500内部错误大部分原因
3 d. ]& ]# [( u+ l% b3 B( ^1 O- v; q9 h' h" b( C$ q6 z
主要是由于iwam账号的密码不同步造成的。
) u& }" [# G6 J. g& z1 Y& o. N) Q; Z$ z) M9 |5 x
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
- @8 I* i _+ [) l, J e
' ]6 ~6 }5 d9 }/ o6 e执行
5 A. ?& V) k8 R6 V
7 }- J6 n" [! l3 C0 O' p# @" }* b! Ncscript c:\inetpub\adminscripts\synciwam.vbs -v3 r# q0 c' u5 P1 a1 _
3 \4 l! g7 J: U7 Q' G. K. N
7.如何增强iis防御SYN Flood的能力?
, d$ j; ]2 D- t+ ?# v
4 }+ c9 A0 F: c3 n; uWindows Registry Editor Version 5.00* A0 W4 A' M# J! T8 w3 }' F* f
8 t$ y0 L& X, X/ ]; G3 d! e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
/ S# m( _" Z" l6 U! ?2 Z2 R; R3 L5 q* t$ x
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后5 J. f" F' l" S# e+ l* A4 P
3 g4 p# f4 i" r( Q
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值% ]! \; q1 G5 h5 S& d9 B
/ k z4 k0 }+ P$ h5 [* X
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
" F5 `' e% x6 w5 u1 R2 X, D& }$ o! \+ ?" i2 ~" S% w
"SynAttackProtect"=dword:00000002
' T4 n! t& Y, R8 l7 c: I* V' ~ I1 K6 S+ u' X6 g- u; o$ r$ Y/ w7 V! Y( U
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态 T/ L/ m" U/ @: `+ {
& V7 S$ \& B% U4 n& D g; ^'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
0 f7 y7 \4 k. N1 K% E( _" k; C, N. L
"TcpMaxHalfOpen"=dword:00000064
& M% [; E+ @ j* g0 B# ~3 O
5 U, x Y3 t8 w( L; }, A6 y'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。8 C- U- y9 F5 n' ?* \4 N
1 T# b5 w1 M/ ~5 A8 ?"TcpMaxHalfOpenRetried"=dword:00000050
" M3 A/ ] U" z5 A- k; i& m- h
, N5 h E A5 `: {* b. \'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。* B6 Q3 V) e8 J
8 E' `/ m0 ]1 {4 D. O: k, ]'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。# q- [2 _9 m' N; S+ h& v) e
' e; E) X6 F2 Z7 R1 n% e
'微软站点安全推荐为2。
% [ i1 [, T9 s {. s: _$ z
" g& C8 H4 X. U5 u1 G) D" R"TcpMaxConnectResponseRetransmissions"=dword:00000001
4 B0 y7 y( ]) l" w. E* B) S$ p% _. |& r% n Z
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。* |" U; p* F2 [6 J3 t
9 U8 G# b. u8 f& m9 | E; D
"TcpMaxDataRetransmissions"=dword:00000003
5 `% i' R# F% k2 ]' Z' `+ X5 P8 g" Y9 |- B* G
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
2 Y/ a" O6 O- p* F9 y7 C. i- E5 [( y: }, B: w
"TCPMaxPortsExhausted"=dword:000000058 z5 P4 f9 z1 O2 E2 J3 W/ |
1 q, O e8 v x4 t9 ^. H8 r" n- d
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的" b" }, y6 ^( v" m! H& r
% y' b$ ~ l; f) b! g+ P'源路由包,微软站点安全推荐为2。
( [1 A9 q* g$ A0 [3 O2 _. _3 J' k. v: n# Y
"DisableIPSourceRouting"=dword:0000002! @, O5 j/ R4 W$ W
3 k3 ]6 {. V- z5 I( I5 n' C: A0 m( }4 [
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。9 u. N+ C! }( b# S+ H, L
9 j. c6 T8 s9 ]" _
"TcpTimedWaitDelay"=dword:0000001e9 X% b+ N9 n% ?! x2 @3 q
" L! D: F& ~$ h' ]
8.如何避免*mdb文件被下载?: k1 y9 T) j! R# M
" ?. B: H# C' n! q
安装ms发布的urlscan工具,可以从根本上解决这个问题。
' W. \2 g! t: _0 j- X; G% ]& K1 l) x( L, t5 I' O5 X
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
' Q! c) q9 k% { F2 j9 A" L' I6 G. D, f% K7 U4 z. d' E: V' H
9.如何让iis的最小ntfs权限运行?$ C% G5 Y7 k8 Y Y J
! P6 s$ P% ]9 [
依次做下面的工作:% N! ]7 `/ a7 s; `( m, n
6 C6 E7 ^: ?& w0 [8 Z6 h! [+ U6 E$ \
a.选取整个硬盘:* N! d7 O4 a& `( B+ o: f
) s, f; Z% T5 Vsystem:完全控制# B' ?) m5 R! \ R' j4 d6 h
$ s8 u8 g* B) z& p- z8 s( c: m% o& kadministrator:完全控制
5 r$ z5 _+ u4 x/ w! A$ A$ D# v7 U" E% [( y6 ~9 i
(允许将来自父系的可继承性权限传播给对象)
% r( d \ x F# X- ]- a
$ S+ \. q1 @2 N, Fb.\program files\common files:
: N1 f/ ?. m- Q/ T: _
% j2 o. d0 ^ f$ deveryone:读取及运行0 @+ w+ o& H- Y' A+ H
+ m' G8 C" ^8 ]0 n# ~列出文件目录. }* ]- E& T) a+ s1 j* D* u
( M' r3 \ B, \4 N) g m
读取
) R' L+ V) Q0 T! B; k: l3 D# K x( R3 i+ }- a
(允许将来自父系的可继承性权限传播给对象)" c% J. k7 W9 C) r1 t: x9 m1 d
: l5 J; q @+ h+ N1 Q8 Sc.\inetpub\wwwroot:
) I$ F+ m F' A: J) n" t f" H+ ^0 P
iusr_machine:读取及运行6 R% n1 d' S6 w& c! X
" @$ Q6 w& `9 u8 q _列出文件目录, W& V0 \( `7 g. x
8 |6 ~- {: _9 {# `
读取
# w. r) [1 I9 `5 A- J) z9 d9 E: b
(允许将来自父系的可继承性权限传播给对象)
0 O" Q6 h4 Z) c. U7 U) _" V& w+ e S: }" v3 {" c, C- {8 o/ c
e.\winnt\system32:
8 L3 R* O; \3 f7 B/ U
2 d5 h' |6 D l9 v1 L选择除inetsrv和centsrv以外的所有目录,
4 R( Z5 G( p5 ]% v) }/ s/ @ ?
, R4 R2 F. ? `去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 m3 i4 s8 T% H9 ^; k" L% o) b& l% w2 e+ r# J* E# p7 e
f.\winnt:
& \* C7 \- D7 m8 s) g
: H/ A) |0 Z" \: p. r d选择除了downloaded program files、help、iis temporary compressed files、" O) r9 h- M4 Z+ G; B+ ~/ h
, w" |' L; |% i6 K$ C) q4 {5 M1 p
offline web pages、system32、tasks、temp、web以外的所有目录% H# {( S% Y Y% r
$ S. [; ^, F% V& t$ O4 n
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。" k* Z, ?3 d2 l% J! W9 F$ \9 f
( Q! M' W% q( N; J, Fg.\winnt:
J" ^7 ~" M' c7 y6 o
/ [+ H6 G- K' eeveryone:读取及运行. M5 V) t% ^5 X$ [
4 S7 w$ u j: M: ^; H5 N
列出文件目录# j- @# B9 Q, P2 z% g
: @! W% q+ V: w% S5 ]
读取
6 l& c6 U- D' M, I# H( R% f% `% _
. A$ c. ?9 o9 @2 |! f(允许将来自父系的可继承性权限传播给对象)8 _: }7 ^# y, h! t
- E9 {7 s4 n8 I% A" I; J) _: Ih.\winnt\temp:(允许访问数据库并显示在asp页面上)8 z% W% B0 s" n2 B/ [" j$ ^/ n
- ]! |2 w# b5 i) s% N( i4 ~
everyone:修改
1 t' w! s* K2 a% |5 G" O0 J
8 a: t' g1 {& E(允许将来自父系的可继承性权限传播给对象)
! w- c) |, D% \( P. @, X% z; w8 A' L7 n& h ]2 u& l% C8 P1 U8 p
10.如何隐藏iis版本?1 q- d- K3 \. R0 `; W/ A4 }# F; B# @
3 _6 \/ Q& J6 u一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
9 l' I' m; C: ?
( J- ?) d9 L; R- Y9 _( Yiis存放IIS BANNER的所对应的dll文件如下:5 `) A+ [" h4 T
' `7 I5 G+ ^; a+ z
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
, d5 W* w: g; q3 ^5 v- b T/ X& a k1 Q# ^
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL6 `1 [# H+ A& @! o: N
0 n5 D3 p4 ?3 y- ^
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
9 @0 Y, `3 y" ?' |6 L2 @8 Z# `, `+ }5 y# `8 [* M7 R# N" h, r% B- s
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0- Z. {, A J/ w8 U/ H
) V( u& [7 e: G7 k2 H
具体过程如下:
7 G4 T" _ ?( R7 t$ |; @
) ^" I( [5 E3 s. k$ `1.停掉iis iisreset /stop1 A; P* ?9 u3 \# s8 O' n
1 {: x# s9 a' b" L4 f2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡