TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
$ S+ l' V- L- }3 S
z+ r+ w$ X: U- A& j修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....1 Q8 \8 [ L9 H, S
6 ~! M# h& ?: @3 A
2.如何防止asp木马?: D, J1 y `* ?/ _( H
1 X* R' y; g/ T1 \8 \5 O/ G6 I基于FileSystemObject组件的asp木马
; Q( I2 @% i& `1 L+ ]6 O
7 F# y: o1 R6 c6 z7 Acacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
4 G2 M) v1 M% l" p$ v) N5 }
' B" e/ F& H5 Cregsvr32 scrrun.dll /u /s //删除$ M2 y, \4 U* W; t
: `0 A0 W0 x4 W" l: J. r: |! q基于shell.application组件的asp木马6 S, S" d; m: o7 |( w
; M6 i) x0 H; k9 g( j9 h2 x) Z) m% gcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用0 M6 o9 [! q: _" A
$ V0 v N- L' v+ z
regsvr32 shell32.dll /u /s //删除( L6 b H& F9 _. l& d
4 F+ G' O! z8 z3.如何加密asp文件?
1 G }7 u: _4 B8 m j9 w
1 ?3 l; k4 U0 d从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
2 B- w2 _& I7 _3 W9 w+ P* }6 Q7 {
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
8 Q5 J! B' z! Y P; Q% c6 B# b$ l6 H# Q" g
运行screnc - l vbscript source.asp destination.asp0 v3 N5 {# k- c2 G; ~+ K6 d
4 e9 Y8 V. O' T生成包含密文ASP脚本的新文件destination.asp& M- N* p R7 u& s' n* J# T! g
" l( W! Z: L r u" H
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
/ `$ |7 i+ @0 D0 ]: g* G7 D+ n- r& q* [# Z, f& a. v- G* b! I! s
但无法加密中文。: D9 Q, S3 X H
p# l2 Y4 C: L4 Z; u g4 J
4.如何从IISLockdown中提取urlscan?6 }/ I4 S6 P8 a
/ Y/ L Q6 X. @; Tiislockd.exe /q /c /t:c:\urlscan) N( Q% [3 s: U# I; W
' a6 K# e3 ]. [) H) G5.如何防止Content-Location标头暴露了web服务器的内部IP地址?0 D5 s9 y2 Y2 v: G6 h! @+ A
( O0 l) J! M# o, O& g# T) ~执行( F5 X; }+ b4 Y3 {
+ b+ d6 R3 z$ _- f8 Y" h- C/ M' W
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True2 W% `7 \' J0 z" K5 p& O
: y2 t5 K# t# t9 W3 `: i8 U最后需要重新启动iis
! `! ?. w$ G; W2 s7 T9 F v' t2 W1 T$ \+ Q* g9 u
6.如何解决HTTP500内部错误?. j$ a8 f" P- y; W8 k/ q9 F
+ W7 h- K5 e/ i" V5 n: m4 tiis http500内部错误大部分原因
& k% v# Q; N# X( R
& L: X4 E' i- E, R* E: Z主要是由于iwam账号的密码不同步造成的。
2 B$ p' A- u8 Q/ B. j0 {1 n. A" _
, q6 a) `- m+ x8 A" R& ?我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。% c2 h; a/ c) C1 w. N; `6 x2 ~
. T8 [$ s d& ~3 d4 x8 ]- O
执行% P( R5 R- c1 A+ S2 k9 b6 F @
# j k' A+ }% v% hcscript c:\inetpub\adminscripts\synciwam.vbs -v
$ P3 e9 R2 M3 {0 K+ {! j/ G( s$ k) y9 y) k/ ?8 ~# z
7.如何增强iis防御SYN Flood的能力?
$ L. T* f1 {8 k* R6 S
) o. X. E( L+ {5 n! m/ k& TWindows Registry Editor Version 5.007 c8 z6 |0 O/ V! [" W
3 P1 x8 o3 ]" k0 ?! n
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
) L# O& D; S! e: z4 C/ m/ a7 A3 R! W9 b+ Y7 E& u
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后$ L+ m9 h+ Y. j5 v% Y
+ _7 Y F4 n/ ?3 ~. z'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
* c. V7 v; [ k2 i
$ C5 ]+ i4 Z6 T'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。1 W3 o* _7 Z( Z
( h! _! d; I$ F2 w"SynAttackProtect"=dword:00000002. s6 l9 N5 B4 A8 r3 _; N7 ~
8 Y4 L- d! L$ M7 h7 o# t
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态% P7 d3 o) v+ P$ E4 g" o, e0 M
1 F0 |8 Z7 {& z8 E'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。! J1 f% k9 M$ \ y9 } j T8 w
}, H; L. ~. G
"TcpMaxHalfOpen"=dword:000000648 i, o* U" ^* N9 [3 ?. \) |
7 | }/ v" S {& Q% S
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。1 S/ i2 N$ x) r3 |4 M2 x7 h
" Y6 X b' T; x0 a, ~"TcpMaxHalfOpenRetried"=dword:00000050 j t$ \5 x) Q( s
% s1 P. M% T5 C4 L/ ~'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
6 k7 I. J+ W( p, Z1 u3 p0 Z ^( `. O) a
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。+ C7 }6 w* ], U; O
8 i- }8 n# P- Y2 q$ O
'微软站点安全推荐为2。* h& Q# E! T' X2 D4 |- r) n
, X! e3 N7 Z6 O
"TcpMaxConnectResponseRetransmissions"=dword:00000001/ [7 y( x1 |: t9 g3 y
4 _: `5 W3 x7 a6 L4 S6 c- a
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
* g6 b' q7 }; A3 C$ s+ |1 V3 p* q6 v0 v+ T2 p# w
"TcpMaxDataRetransmissions"=dword:00000003; ^: Q7 |6 X! V8 c6 x
) r ?, o2 [8 d" `& i" t' L& e: \, Z: r'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
# l2 Q% U$ B- Y( |9 e6 ~3 w3 ?; y5 o
" }! |! H4 B* u* S2 L- A- n; C4 @- H"TCPMaxPortsExhausted"=dword:00000005
& k* p7 L( c1 u' Z+ k4 V3 o5 s$ R
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的$ z4 g2 S! n3 p4 y
2 Y( B$ ?1 Y& \* F! \
'源路由包,微软站点安全推荐为2。
5 c+ R) D- F9 y& H* W9 Z
0 x' D2 y0 T! t R u"DisableIPSourceRouting"=dword:0000002
% d! L) ~/ i4 s. g
; t# r5 b# m* r' P8 n; U1 ^'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。0 I; c: T! G& b, ]% C/ `4 s
+ n3 s' X, }0 b$ w) R"TcpTimedWaitDelay"=dword:0000001e/ l% `9 N9 r# Z/ S. |9 r
3 ~: a$ @6 E. B% J8.如何避免*mdb文件被下载?! ^! D5 G* q* v9 x- K% V: T
" S* F8 H0 R# H1 j
安装ms发布的urlscan工具,可以从根本上解决这个问题。
: d+ O3 c) k' z0 Y8 x$ C
0 L5 c5 d( D+ `: \( k0 d% `* J同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。- [- P' f9 T, g+ m& ^) z) X$ z
2 M g) ^, A& d7 h( ?1 p
9.如何让iis的最小ntfs权限运行?$ }( k% Y5 Q+ ~) q4 u# X/ `
" D* @ f4 ? B( K1 {# H# x( c依次做下面的工作:
) D* t! L8 J, G( R- e, L( A3 h( v0 E# a: g
a.选取整个硬盘:" I: a1 U( x/ A4 ^
$ e2 Z7 N' N6 |/ O
system:完全控制. z( r/ F4 f7 Z& C8 G
6 X7 z( e9 i$ H K1 q
administrator:完全控制3 Q4 j3 v0 V i+ ^ m
0 U3 j# \ S- t/ t% k9 x(允许将来自父系的可继承性权限传播给对象)
6 c1 j# U" r: i' Q; F3 C. B& W) |' W
b.\program files\common files:
. w0 C( x5 h3 I2 U% W% K( p) P+ u8 K2 q( E8 v }
everyone:读取及运行
, a+ j' x8 z. z- k0 l
A/ z2 b4 V0 O* D$ b- V列出文件目录- ^; n6 M/ Y( J: c* h! L/ Q0 d
$ q- |* B8 J5 V0 B9 m读取+ s9 _8 t; F* t
) C, H b2 r* x" U. s3 h3 h(允许将来自父系的可继承性权限传播给对象)
- `# f( W/ G! D# X
. S9 Y9 @ |3 Dc.\inetpub\wwwroot:
6 U0 _1 t* w( H1 `3 L+ b% s+ Y7 ^8 q: A
iusr_machine:读取及运行
5 h& M$ l* U% I3 m
: _' { N! b3 ^8 j4 q1 E' I, Q列出文件目录
4 A( V" b5 u2 ]% l B! N$ t% ]$ ^0 w3 S( |, w4 j
读取' g1 d' {+ B4 H! F4 c9 ~
: D1 R' c6 G' g, N
(允许将来自父系的可继承性权限传播给对象)( C5 O# L+ u, u
3 z. F w4 F' oe.\winnt\system32:
. _4 \4 o) P) H6 {/ X! w5 K: c' ]1 C# Q& u: I% L
选择除inetsrv和centsrv以外的所有目录,+ i" u8 R( u9 q2 V5 C6 F
Q5 Q; a6 n2 R+ m: k, o6 B去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' f1 ?7 P- ?$ c) q- {! x
- R# \5 Q. a. T" r2 i6 O5 q8 mf.\winnt:& N5 ~4 V$ R( x" J, v O! |
. P5 a1 I Q0 K. C" a: L$ D
选择除了downloaded program files、help、iis temporary compressed files、3 V5 S( I; K% z$ ]" u- \
$ ?" j% Z7 K) u( u$ w+ `5 J" n
offline web pages、system32、tasks、temp、web以外的所有目录5 }9 E! N/ B! X5 A7 c& c$ I+ A; C. p
) Z7 v7 @' d2 T
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 v, F) X- _, J9 q+ J, `8 E4 S
7 H. m% i$ _" \& ?: N4 ng.\winnt:
; }. P, O( g7 G a. ^% z9 g
9 _ x k6 p" A6 a1 B8 f1 ueveryone:读取及运行$ h/ N+ p+ y' U! ^3 m, t2 T8 M
5 N% P7 U/ o% B5 X% M列出文件目录
8 ]* q6 Z7 \- O5 U1 K
- T) W% p+ C7 r1 L3 z( i. F读取 g' u7 q" V+ l8 v r
) e3 [" h- z' I
(允许将来自父系的可继承性权限传播给对象)
# v9 d6 ^& q! a9 w; J
/ ^8 a' j* y) B4 g1 P9 ^# R2 Mh.\winnt\temp:(允许访问数据库并显示在asp页面上)' @, ^3 B- K. Z4 j2 ?0 a
' o: D+ Y9 e8 O, i* d, P9 G3 Leveryone:修改9 ^( n0 v: X4 c7 \* J+ T
' I$ V$ n5 ~. q. k5 d# T' i
(允许将来自父系的可继承性权限传播给对象)
# P+ V% ~; J( A4 u' _- [" g! m8 d) k$ h0 ?1 G0 ?
10.如何隐藏iis版本?- t2 j/ o8 L' i9 g+ K
5 m& ?, k% ~: W: `9 p/ U7 G
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息9 |! V: L' I' t+ P
: h; Q' E2 N, b5 E: p8 F+ Diis存放IIS BANNER的所对应的dll文件如下:& z' \0 X6 S+ y* S
6 b, _( l- V- HWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL4 ?4 M# L& D5 C# t3 f6 f- ]) U
3 B$ Y2 l5 r$ x% Y7 O& m2 g
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL2 O3 G$ k d. e ?% e' x
" M# e2 p" `9 SSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
/ r5 ?. {, M6 V% W5 M6 S
; a9 _6 @0 t9 a. A4 ~你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0! z: [; t2 r: c5 ?# C3 c4 p
# j8 ~$ @7 r" a' i3 h: u; ~具体过程如下:6 [/ A5 ]8 G- ^
6 _+ s* S( j+ D/ V( m5 w1.停掉iis iisreset /stop6 n+ K, G+ |, N- O
' p5 A+ [6 J1 z# h2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡