TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
1 B6 s0 Y- f* z9 R+ t/ D( ~, t2 K4 ?( [* N
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
5 C$ H2 H8 p/ `$ R. k/ R$ r$ Z: z& o: ]
2.如何防止asp木马?, p: p; K+ t' h4 {8 O
2 T# R# f1 o' ^* M- T
基于FileSystemObject组件的asp木马
D3 K+ q0 b" }, D" A5 U$ {. t
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
0 i) }7 L" Q* E. ^9 K6 z, H0 G: H* o6 _9 f+ P( n
regsvr32 scrrun.dll /u /s //删除' }$ J8 ^" a- ~4 G6 P% @! G. o. ^) m4 h
( T9 j. J$ K8 x4 X1 C4 s% d7 L" d6 A
基于shell.application组件的asp木马$ A& d% [3 ~( R5 E9 U+ f( R
5 t) E/ ?: j4 V' wcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
8 p$ }0 |, _6 l9 t* q& }0 ?6 ^& ?/ y& v) A2 \0 A" B. l, w6 b
regsvr32 shell32.dll /u /s //删除& ^: k2 @9 Q4 s. z1 h) H
/ P# `4 ~% @# o$ `
3.如何加密asp文件?
' n) D: X @ s7 z+ J7 i9 N6 I
1 P' ?/ H! m# _ _6 U9 B6 n6 x从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
: s1 A/ j" U- `5 _" Z4 k
- l h! F4 g& O安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
- I" s9 x# b+ c6 n: Y. a- N: P/ p! A6 ~, F
运行screnc - l vbscript source.asp destination.asp. e, a2 b) s+ B/ r
( W7 f a& y$ k6 ]! |
生成包含密文ASP脚本的新文件destination.asp
: a6 ?9 X% X4 M: N$ y k
0 G- N6 ?# [1 _, c C用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
( F: B3 m: G& l3 F; S+ U
6 n- a& n3 i' \6 s0 \但无法加密中文。
u3 ^' Z' ^& `
- @* M% Y% D0 X/ N% U: k1 z% o5 l4.如何从IISLockdown中提取urlscan?
0 ]3 a" U# Q7 }% ^
" |% m' B3 Q3 c `* E7 Iiislockd.exe /q /c /t:c:\urlscan: L! B8 D5 Y7 [
+ L0 L9 h% e: |5.如何防止Content-Location标头暴露了web服务器的内部IP地址?+ B+ C" G: U: _
0 d7 F$ ^" V" ?# x$ ]
执行* t. |' x9 m! [: N
- w( U9 `- q2 G' O9 V; z! k. k* M
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
% V9 s- E- S9 G0 x2 N' j( q: N7 C( D( | K' E% s7 F6 ]
最后需要重新启动iis- K3 L3 W' b( u% T W, D
5 | }' D" D6 `! D" @8 V6.如何解决HTTP500内部错误?
* s1 h1 T8 U: h' j+ |
3 g' u) c8 ?: w: Ciis http500内部错误大部分原因
2 g9 |- U, ]2 S) @$ a1 @, k; y$ K) V( d$ u3 H
主要是由于iwam账号的密码不同步造成的。8 s6 @# C' a6 E2 j
9 e/ ^2 W# l6 W' o+ T: b0 |我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
2 J" H+ e5 i* v+ E2 M* G
% q+ s6 I4 K( B6 V8 A执行
" W) H7 C. D4 E' F1 ?' k3 |. T" G& \( ^- s; j$ X" i; j* w
cscript c:\inetpub\adminscripts\synciwam.vbs -v; Y2 K* d7 m$ D+ V0 R4 j
, u5 x$ N! ?: |3 K( T
7.如何增强iis防御SYN Flood的能力?0 [% r) [" @! p# Y# o+ V
" V4 c/ f1 y' ?3 C7 GWindows Registry Editor Version 5.00 p1 R; c. J* C5 |4 x8 r9 x( k+ r
( `+ w+ g3 C1 S# h
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]5 m# I2 J2 E4 o5 U0 B' N
. x1 [- `9 {: o- r
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
1 ], ?6 L; ~/ n v0 b% K! V" V
8 F6 R( ^7 Y' B/ V'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值# t4 }2 l1 `+ M) q/ B9 [" D
8 o) u M* P* Q- C
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
9 K2 t- ] ]3 P: M& Y* h4 m- |5 _ q7 [; [( R$ `
"SynAttackProtect"=dword:00000002) J. W! C& H. W, Y: X V
( \$ \$ a9 {6 [, U'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
5 p; D- N& I5 @) {2 O4 d
% D n5 m& A4 y; X) u'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
: I9 m& y$ e) z6 b$ y$ e9 G L# P8 j& E/ [
"TcpMaxHalfOpen"=dword:000000640 c: e* X0 X* @; S
( d6 A+ z3 Z* s
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
; ~) D" E d0 b0 L$ m( Z
* Z1 V( \1 N P5 i! Z4 `' J7 T) U"TcpMaxHalfOpenRetried"=dword:00000050
8 V+ E$ }! M9 ^7 T- ^! s
9 \/ ~8 W# A) x9 ~: x8 _) x4 i'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
' M _1 p7 r- k+ \' h- h! p( i: C) p
+ J @/ [% e' i$ O% d) v* @7 l0 k2 n'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 A' A/ L: k5 n5 t; I! f1 Y9 ?7 y7 O
'微软站点安全推荐为2。, u* R& A: H- G/ ^3 [8 F Z) v- n
% |+ X h/ P3 ]$ ]! k7 P/ X) Y"TcpMaxConnectResponseRetransmissions"=dword:00000001+ |2 `" ?$ S* W$ `8 Z8 i8 J# Z
0 [ I% ]$ b7 G- B$ ]. f$ H
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
* J$ q$ d k. O% e: w& F/ E/ L: H6 L; w* g. o; H, T; r+ A
"TcpMaxDataRetransmissions"=dword:00000003* _$ r) M5 Y- e
: ]8 C$ _- a- a# e) }
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。! i4 A$ M( T6 q) O' U8 ^
) N& I6 j: Q7 P5 ]! H) U
"TCPMaxPortsExhausted"=dword:00000005: ]: H0 ]- W/ _- t6 ^3 @/ m1 C
; o/ b# z+ [8 q) t% x'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的3 m7 j8 _; G$ f* c/ |4 T* ]% G
8 y* W, B" W G2 }; q'源路由包,微软站点安全推荐为2。
# E3 M0 Q3 l* z2 m' q/ d
+ r% d" i% E! h( D% h% o' g1 g"DisableIPSourceRouting"=dword:0000002
1 j; ~) r5 P, K/ T+ V( S& u+ }0 T; `
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
0 `3 y' e) B* d6 W* b* z
+ I2 b0 t; n4 e" y' h9 l# ~"TcpTimedWaitDelay"=dword:0000001e, d2 b8 t% L3 O& G8 E8 m
P7 m7 r q) v, t$ R8.如何避免*mdb文件被下载?
3 K* d% ~+ I5 c6 _" [
' l/ P" F; N) u+ X5 |安装ms发布的urlscan工具,可以从根本上解决这个问题。
+ W: x F# M/ X* @1 [% w4 U2 F
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。- P* n3 Y. O' @ v# u* j6 i3 w
( ^* p+ a" j5 \% H
9.如何让iis的最小ntfs权限运行?: W' w- @$ `! F1 `- O6 k
( U0 h0 d$ f/ X; w& d依次做下面的工作:5 A" s' Z. w0 f/ H! T' g5 V- d
J# b6 S: [: _1 ?a.选取整个硬盘:
1 w2 y: g6 L7 A: K+ _% \# ?1 W+ @3 v- A0 _3 T0 Z W( `
system:完全控制
( h% p) L3 l- E* H( ~" }% ]+ m4 f3 c! ^% ~
administrator:完全控制% I6 S8 k, r% y' I4 a! M
7 u+ l. m1 i, F- N6 R" ~# y3 X
(允许将来自父系的可继承性权限传播给对象)% i/ Z; d0 m; `$ W# |7 p
6 d+ b3 U% ^: V/ ^' N X) x! i/ Mb.\program files\common files:. r7 ?* P/ @+ b, \5 M* ^
" ]; k* ?8 X( l: E8 Y9 k* u% h8 p3 q' yeveryone:读取及运行9 K: Y& Y$ }1 F8 H
# Q8 X% y+ u- L6 \( W7 l3 f$ ]列出文件目录0 p2 o/ C; Y9 M8 `" E. n) s8 w' D
% Z4 R! r/ l; }7 z; Y
读取$ d( D7 X1 I; r: ^
" m7 Y5 V! Q9 X' K, X* F m4 ?(允许将来自父系的可继承性权限传播给对象), i& p( c- f% C j8 C5 E4 ~0 @: R
2 d8 ]5 B1 x2 uc.\inetpub\wwwroot:
, i9 _8 n* D- V0 v/ D4 l, f9 X4 F3 D( c' ]) T6 R4 K# V, W
iusr_machine:读取及运行# Q- ] l/ ~( d
" |6 t5 I& B9 {8 R( U$ F3 R. g. o列出文件目录
- n6 j9 B6 N v' X3 R2 r/ Y
: q$ } E& o% s' K读取' K. ]7 K* q2 |+ h2 ~* B
L x# T* ^7 O, I8 ]! M- Q0 Y0 G$ j(允许将来自父系的可继承性权限传播给对象), _9 O- K0 K( Z+ K+ s/ ~0 Y
: \/ ?6 S' q0 D f6 Le.\winnt\system32:7 ?5 R. l0 ^& C k$ V; h
5 G8 H, _8 q0 [0 F选择除inetsrv和centsrv以外的所有目录, f; Z: G$ }. I* L: ~
3 s; ^; v7 b# v6 j; {
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。1 j+ X& r* q0 H
! d% z( a, H0 C; g+ ?6 y5 R! jf.\winnt:
) ]. [- V- n: s( y1 ?) b5 o3 W- O2 H4 P2 r5 d
选择除了downloaded program files、help、iis temporary compressed files、( X$ R/ N9 g9 Y( H
8 I4 K' L2 y/ V' L; m( koffline web pages、system32、tasks、temp、web以外的所有目录
* b7 m. P& B$ n# F, y/ Z% y1 h8 [( v' A) N7 _
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 E2 L9 y) ]0 E) D( x- ?! f ^5 e" q( _
g.\winnt:/ A1 N' _$ t, V0 ^" F) f: K2 W) L
+ J! o2 x4 F1 g1 Y3 q6 o6 s0 b
everyone:读取及运行. z; t) x8 ?( n6 F' x8 h
8 k5 `: h2 V: J2 _! \; B1 L: `6 ]* p
列出文件目录. E: n) F, a7 B1 w7 V8 z7 g0 A0 `
" K. D% Y/ X& Y: p" N- ]) W读取2 b: S* R! E# n5 |
+ M9 r/ [, m8 u0 @% j, E9 I# D% R
(允许将来自父系的可继承性权限传播给对象)
- F) |; T4 E. r1 o) R3 v8 u, H- C3 q! v* E* R' \
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
9 p7 h! ^4 Z s& w' b
! _/ `0 q7 h4 u3 B& yeveryone:修改( [6 {- F' C3 ?
6 P; y/ J/ B0 S$ n z
(允许将来自父系的可继承性权限传播给对象)$ @% N2 H; R0 `. I
, N2 P, s8 @( C( a" q2 G, q
10.如何隐藏iis版本?
6 v4 q1 }$ ^+ ^& x/ D' w
" n- t$ o3 j d一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
+ \( a3 s" `$ u- [1 \
$ t6 c2 V/ d/ i! Kiis存放IIS BANNER的所对应的dll文件如下:* i* T& |$ {0 o7 |* T
$ g7 x/ p2 y' z* W1 ^* m7 d: eWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL% P; S2 V- w% |3 e: A
. y: ^, R8 o2 V. [9 N( C$ M
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL+ `+ d. [0 g* b
6 s9 M, a' {1 l* J3 k# ?
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
1 a4 w) U# P2 j h. w# T! H; C# K. x% c4 p
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0$ P: N! a! r) ~5 s
' {7 J. {5 f4 c9 K( s! E
具体过程如下:
4 D7 L* [- J2 Z l; W$ P( K" u3 T
% l* E" T- w& h5 o2 S! U1.停掉iis iisreset /stop- D- J. \* ]7 h' I
c7 a' c1 T8 p9 U
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡