TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
8 c" D3 w) J, u2 x$ {0 Q! l3 o) b( e
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
- z8 X- V5 b' S1 K! w5 v$ F- q' |( Z4 e% q c3 U
2.如何防止asp木马?) o: ]* C& R6 O& g3 L
8 I, ^3 Y {6 y, o* O* |' C& u
基于FileSystemObject组件的asp木马& h. U- r9 ?' B! {$ p6 ^% R
9 P1 ?* ?6 e6 |! E! ncacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
) t$ {+ p9 a: q( n) @
' I8 c! ~7 l8 ]- v8 h/ Tregsvr32 scrrun.dll /u /s //删除! u3 }6 ?3 F5 F& j
" k( o% {% C9 L8 V( ^
基于shell.application组件的asp木马
- B7 ~/ b* [5 j/ K& T" \3 `, ~3 v4 q8 z, N/ K6 V* R
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用& Q* n# G0 b5 w9 j1 q- `
$ c% O/ `3 @* g- w5 y3 Oregsvr32 shell32.dll /u /s //删除5 j- l, j7 w; n, W
9 N+ ?% j; ]& D* s* A1 l# \5 l
3.如何加密asp文件?0 f4 |0 R6 L5 P1 `$ ]# Y) D& E
2 Z+ e% v4 {7 I4 I$ t2 D
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
' D1 R* l2 C( K: s; j4 B1 r1 y6 ^) B0 L$ Q6 J2 e
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
& o" I: a9 V0 q+ K4 n8 n- S6 H% ~ O1 @) ]8 C
运行screnc - l vbscript source.asp destination.asp
( }7 h: h9 e) S1 @8 p; N! y0 j; |* ~) S' V$ Y k
生成包含密文ASP脚本的新文件destination.asp4 G8 V. l6 R0 D% R& f' D
2 h; s; e* k4 y0 n用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了) v Y2 b; N9 T% F, t$ S* G
. E' r8 e1 F! i }8 d7 J
但无法加密中文。' Y, {% D' D1 e0 ]- @6 l
4 \/ P( d0 v2 o& t/ H
4.如何从IISLockdown中提取urlscan?
0 i# h$ X( V5 T% h' q+ t) N" k, W# s/ \0 |2 R7 N
iislockd.exe /q /c /t:c:\urlscan
$ Y( F' f7 w- a. G9 o7 U9 T" z2 A) I9 }0 c
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?! r, J: D/ N r3 G- z3 _( v
# ?/ _/ D9 C n% [
执行
$ e, C2 a" o- i% m; L/ V# E1 N+ Q+ t) p# }( @& ^$ I. T8 o/ J q
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True" u+ z$ _- ^4 Q0 ]2 a1 G! A0 J! o/ ?
0 f: O7 Q( `7 t5 @5 K0 c$ |最后需要重新启动iis
% g2 E" B I3 p- `( {+ T9 b0 F: `# v8 D: V& O
6.如何解决HTTP500内部错误?' }4 f( C+ S, O, X" u# z: R# Z
& s' u* N, M0 N% ^iis http500内部错误大部分原因
7 u* x8 c* H' q5 E" k$ F" |2 ^1 U4 j- _3 k! Z$ A
主要是由于iwam账号的密码不同步造成的。2 A2 a3 z( O4 N1 b+ b3 ~/ S1 x
3 p! E# a. b+ a; A; V: j我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。, ?* h: T" E6 z2 O5 U
* l+ S1 V, p+ V5 }
执行3 a* S+ [4 ?3 y, Q, W9 M0 Z4 D0 ]
! B( C9 i; v! @, d* Q p
cscript c:\inetpub\adminscripts\synciwam.vbs -v
) X1 U2 ?' K/ f
5 B- `# f3 ^# S3 _7.如何增强iis防御SYN Flood的能力?
/ d3 x4 f9 w6 i. W8 g5 L4 S% d3 A) T% Q' Q+ M
Windows Registry Editor Version 5.00. B3 |! M# [& A+ R' f3 J
0 U; S% y* d& g1 }& r# t0 T8 ^% y, L; e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]% C# d* @9 v4 C' u& P' _
% v" l d( y+ j" m7 |4 }3 ]
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
% k& e& ~; f4 C& G1 m s
1 r% \/ p' X- F% Z" z6 A. }'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
( F; W6 F7 G6 G3 w- c( ~ B; j( Y+ H% W7 p' x9 ^
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
# r) \3 k* a$ N
3 W+ u& B% J% j9 G- b9 s! a/ N"SynAttackProtect"=dword:000000026 w7 `0 y: p8 V, ^
5 s" r7 E5 \7 d0 I6 @' ]+ L& f'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态3 b0 ~ ^0 E5 V# J, \+ ?6 h. J. K$ V' f y
. O5 A& M/ X0 D, f/ C9 g'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
) D; C+ p5 H- C" h: M- u! C6 ^, k
& n' A5 e. l. v# t"TcpMaxHalfOpen"=dword:00000064" ?# o# d; Z4 d5 N- E6 P3 j. l
, f# t0 w8 u, L2 a; S'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。7 ^: r7 q( Y( ^" R" X
( ]( e' W9 [& H/ \& [8 c& I! g- v9 o) k9 ]
"TcpMaxHalfOpenRetried"=dword:00000050" h- p1 |! @/ C" W. \2 s- q
) K" P+ B8 J( H: d. e% v; y/ N4 K'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
7 a4 h: q3 A$ k5 C$ `
; T7 `" r# n6 I'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。+ D6 B" n- i5 j# ~, P0 p
- E, I9 q3 u% R8 \( l% D'微软站点安全推荐为2。
" d h- X) O q$ G! q. I/ b- ~
& x9 J( D- Y3 S* {$ @- X" a- ]"TcpMaxConnectResponseRetransmissions"=dword:00000001+ a) i9 S; I) e4 D
. P; W. r& }% u6 E w8 M* g& a
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。6 z" G, p1 s+ T3 w' H' S
7 \! ~, L# S7 u( n K# m* \3 C
"TcpMaxDataRetransmissions"=dword:00000003
1 K5 r" _" P5 j8 E; u3 k: Y& ]
! o! m. o9 d# p1 U& c'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。7 n# g0 ~2 }2 j3 d+ b% C
Y8 Z( [- `5 ?: `0 `
"TCPMaxPortsExhausted"=dword:00000005
" p* _& I* |5 l& q
) P+ q: Z+ t( x0 L+ m5 Q'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的6 ^7 R9 i4 }, [
2 N7 \! L, u+ m( e. @4 @'源路由包,微软站点安全推荐为2。" u0 G/ E1 B3 ^" R# F" a6 I# ], ~! c
8 Z! o( @* n' F+ x
"DisableIPSourceRouting"=dword:0000002
) Q0 i# s4 ?0 F; K3 a" `+ E9 @( t5 ?% W0 I& G' O! k$ u
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
2 D# E0 J2 k A7 G+ ~' v1 c a! P/ z2 ?5 L* W% \- r& L$ a* Q. w
"TcpTimedWaitDelay"=dword:0000001e
9 {6 t+ V; f. W) X; @# J* Y
* I4 Q( y- d3 i1 C8.如何避免*mdb文件被下载?! }7 o! K: T; c
* {# U3 v6 ]4 z7 Y! D7 N* N, O9 Y
安装ms发布的urlscan工具,可以从根本上解决这个问题。/ i4 G1 C. C$ H2 n5 \' F8 ~/ F
8 y3 h; ~ o, D
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
) \- P( ~% M* n) x
. W0 n) A1 P3 |2 C% ~; G9.如何让iis的最小ntfs权限运行?! h" ]& R: n2 w( K6 h
$ t9 ^0 o/ N" d- x依次做下面的工作:( X3 N2 i5 j# E8 {" E
1 s+ U" P0 O9 _
a.选取整个硬盘:, G$ {( r" C) C5 q0 b7 d
$ K* J7 p+ ~2 Q/ v$ x4 f' Q% Zsystem:完全控制
5 F& M* X$ i! N
/ H1 A2 N6 n8 Madministrator:完全控制: v% z* @0 R' J; I8 v) N" I
4 P u/ I: j, A+ p7 |# c(允许将来自父系的可继承性权限传播给对象)
; a/ @0 E& f9 n& b/ P/ u+ k8 n/ g( o8 Q) q( o
b.\program files\common files:
! [" `1 c3 |3 v% g' h* d
7 `5 O7 i' {* Geveryone:读取及运行& J# |5 m* s& ?7 |; k1 a
. S6 q( g4 W8 g1 t+ \% U% P% x3 @
列出文件目录: i, u5 m. i9 O" f% i( l- Y \
% R7 O8 t9 z) N- w! y4 a- ~+ N" S/ z
读取
% K$ U9 c& l' f1 Q/ U8 S" y1 R. g# i
(允许将来自父系的可继承性权限传播给对象)% \8 B, b" j7 b: `) a# D1 l2 N
& b* _( V' X9 I9 }' b6 z2 }c.\inetpub\wwwroot:/ p3 l. V2 q+ y
6 W+ ~7 v8 {7 Q' r$ e
iusr_machine:读取及运行' |! t9 {0 w4 Y. w& `4 m: h
: j3 E0 w8 h; D# \. ^5 ~列出文件目录
& u( }! E: `! j T8 `/ Y4 C* j9 o- D U
读取6 }0 v" A# N% R7 Y6 C; G" `6 ~1 g6 d
8 x! I# M% D- O" M: \(允许将来自父系的可继承性权限传播给对象)
+ ^# [6 e9 \. |+ w' @" d" D$ ]- q5 o" |+ i
e.\winnt\system32:
& N! k1 w9 W* o7 ^0 Z9 ]) ~* T0 C) E/ k, |+ F1 s
选择除inetsrv和centsrv以外的所有目录,
. I& O8 t% z/ d- F. R4 w3 `
( Q7 ~5 v: l3 o& B去除“允许将来自父系的可继承性权限传播给对象”选框,复制。3 A; S9 P7 s/ r( f( V6 T. T) `' K
, ^" A5 Q/ o2 N- z' W0 nf.\winnt: g5 ~, B% [3 B+ r; ?$ A
( i. m: o4 `# S1 N选择除了downloaded program files、help、iis temporary compressed files、
" @8 R1 m2 g+ e) c) Z& S- p- q; `4 J- k, P% R
offline web pages、system32、tasks、temp、web以外的所有目录
/ o/ P* H% n; u5 t7 c
, X+ ~- a/ i" ]% F$ n8 ~; l去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 q! L) l8 g4 t A' ~- h" O9 s# {8 b3 H! |
g.\winnt:- M- C- X' [& d) Y& `2 }* S/ p: ]5 S
) D! B. A. K: e
everyone:读取及运行
$ @1 E! h D. s/ q y: n. B# f5 ?( \5 b2 _3 ~) ]
列出文件目录
1 f% V M+ p- d9 m, {1 m! J3 l5 [2 z# O
读取
/ q7 o1 p7 u/ n! q5 V9 q' G9 Z* a1 A
/ t/ Q# J" N3 z1 F9 C& }(允许将来自父系的可继承性权限传播给对象); t! [9 J5 ~; F
4 e! a: B$ q! y0 Qh.\winnt\temp:(允许访问数据库并显示在asp页面上)4 j$ L1 G: D* ~* j% p
7 N: `0 B4 {! r+ M5 M+ deveryone:修改' P& S9 N5 F$ d, e6 K
2 W: u1 {7 H7 }6 l9 }! a
(允许将来自父系的可继承性权限传播给对象)0 j9 G1 Y: W1 ?
$ ]; d% P2 G1 n; j10.如何隐藏iis版本?8 |, V+ ~& l$ q, b. g$ ]+ |
* ~6 h5 R; ]9 O" h) s
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
5 Q+ f/ G1 F6 }$ B+ T3 e8 N( V1 m6 `
iis存放IIS BANNER的所对应的dll文件如下:, _3 k; W0 S' p0 u4 e
2 H- }% P: J3 I6 sWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
: |' k, x- q. [# i
1 O8 G6 h. u4 a# CFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL; o9 O7 g! J+ Z1 A+ B
5 {* a; A9 u$ J
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL4 b/ P9 Q: }' }' L4 `, ?
) @9 g: O! ]3 B( [你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0: F, U v- x# D7 r# j$ _# I }; O
, J" G4 i' m" x! }
具体过程如下:! I2 w" _& t3 k a
4 s4 W; M2 x/ @$ J& Q& o
1.停掉iis iisreset /stop
) w% I0 ]" k k! ?/ R$ v- P! `& E7 v f' B
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡