TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
, F2 I/ ~( h7 V
& p: @9 b2 R: M7 c D; S: V修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
3 O# y3 w P9 V* V) q2 i o, b, g5 o% B( m
2.如何防止asp木马?
1 O2 i: z; R4 {) D% }$ s# m5 F! ~( d- f( t
基于FileSystemObject组件的asp木马; I* S9 I7 N+ | \% q5 e7 ^6 v+ h
0 R4 v+ \7 C- Y. Ocacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用3 N- I1 ~( v1 S7 j* w C4 P
4 |- v6 |* S9 W# B0 Sregsvr32 scrrun.dll /u /s //删除
5 i( P2 v& l4 o6 l# @2 b$ P3 G, P; k' G. {; J- T
基于shell.application组件的asp木马 S+ P# G/ k7 s! @. O" P& F
" z5 E3 {: N; u7 Q8 {8 x
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
% v$ I i1 a2 i' Q3 ~, C' n4 S
regsvr32 shell32.dll /u /s //删除3 K' b; j6 u' o
d# m2 ^- ], r" t1 b' p D3.如何加密asp文件?
, A4 }2 _3 T9 Z0 u% u1 K$ M& Y3 s2 n8 l; A& M0 e
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
" T% H/ o) F, M& i: z6 ^% |# I, x/ [, i- K% P! ]. ~! O8 B
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
8 C) p: ^1 x# r* E0 B/ x4 T6 H/ M* ]$ T$ i3 n
运行screnc - l vbscript source.asp destination.asp
. A: ^$ g7 w' ^! Y1 |9 s& I. ^) D4 L' ^
生成包含密文ASP脚本的新文件destination.asp5 p, O! [' D+ B$ q- t: h: ]- X. M, n
# x/ k$ P1 u2 ]
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了1 k3 H7 }& T( Y+ f
7 A) z. Y6 q/ K
但无法加密中文。* K' z5 f: Y' e0 h; K
$ G5 A: J1 D" {9 R7 t% Q( g4.如何从IISLockdown中提取urlscan?1 u7 L) W* _6 |, X- c" B
, v6 E" ~+ ~0 R0 z9 r& }+ z: Tiislockd.exe /q /c /t:c:\urlscan' h, b: G5 ]! n( l* g
+ P" n% ?6 K- n$ o/ D1 x5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
' }4 z* d6 S P4 V4 x% M1 F; L/ a4 p4 c: } m: q1 a- n& b! f
执行
" W4 B; h2 Y# M! I
# x: g1 d8 j. ~5 s7 {# y( D {cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True5 w$ K& m4 Q g* |
2 j& z4 T% D5 X+ q0 |* j9 P) l
最后需要重新启动iis& a4 }1 Z- L; ]5 o9 }6 o' n% n1 U
( i3 p) X; c* A1 K" }; |6.如何解决HTTP500内部错误?9 i' Q* K3 P( w' V q. }
% e/ J! t. g' f" K3 V) m
iis http500内部错误大部分原因* ]5 |5 h- u' k! U
6 T3 E; L% J: Q& ] ^2 d3 c7 U h$ c
主要是由于iwam账号的密码不同步造成的。
5 P1 J6 \& W1 Z: B8 F& ?. I4 g: p, y# r3 _: F8 k2 |- G
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。1 V/ R, i1 J* d& i
* `; u- Z6 J$ l: _$ ]( F7 a执行
( N% v( S" E( q, S5 v
$ G8 O9 Z$ x: t* W: vcscript c:\inetpub\adminscripts\synciwam.vbs -v
+ A* _. |( d! B- B4 w! T2 n+ @- F2 p5 _0 p$ ?) O1 ^1 D/ s
7.如何增强iis防御SYN Flood的能力?+ J' A# J2 c: i. @! a
2 j: U' V [' f/ l/ A. e
Windows Registry Editor Version 5.00
/ I. k8 [0 I5 I3 {
! [. @5 i `% G& p0 d[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]6 h" X4 f# b3 t5 C" Q# P
# c2 t8 p i# C7 B' j6 B+ m h* f
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后# a% C6 Q" u x4 `# P
4 B" Y r; {: x, x o
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
4 E3 k- H8 t. | J! ^6 h' q3 J
8 w1 U" r4 P$ F% F' c: Q9 g'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。; I$ Y0 W! Y/ M, n
- f8 J0 A, ~% K1 ^$ G" W# h"SynAttackProtect"=dword:00000002
& Y& z! E# d: H5 h5 W& H
( j s7 ` A/ ~+ r2 h' i'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
# S2 p: C$ ^1 w3 e3 o
$ ~& m1 d4 M0 M9 E'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。! ]8 J) x: ]2 }! N( C
/ ^* Z+ l0 N. C# i2 ]# I. u1 E% e
"TcpMaxHalfOpen"=dword:000000644 m( y4 L2 B. B$ ^2 A
+ x: \, \6 E1 n* E'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。' \8 ]0 `5 ~ c3 p0 Z- P
, Y; V: y6 l8 ^; w6 O
"TcpMaxHalfOpenRetried"=dword:00000050/ @' }1 v' t$ @2 i( f9 W
9 w7 S! @. G; x( D3 ?" G'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
4 L* ~( K, D: f! L+ P* c3 Y+ K" E X" I+ I$ A+ `
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 ?( Y/ K# U# j: @( o% I0 F
8 Q+ U8 ^4 T! \2 h4 [5 Y, I) N
'微软站点安全推荐为2。
( P1 @* n& V l3 J5 q. T4 e; x
2 E1 V+ ~) r3 K4 w1 {" m"TcpMaxConnectResponseRetransmissions"=dword:00000001
0 o0 ]- z: ^( s8 y% F N% u/ A5 }( Q# _
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
! O9 t" ^8 a( b! {2 r" ?+ O: B1 \8 I# ?8 T- x
"TcpMaxDataRetransmissions"=dword:000000037 n+ d: V2 v5 x7 o$ P' p
( }+ W7 v% h: X6 D9 G W8 u# P
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
1 b8 h1 [( A! H4 M
1 b+ e {/ A2 V$ z, ]4 c) ~"TCPMaxPortsExhausted"=dword:00000005
/ j8 L+ \; a% o+ _% @1 s Q/ I% `/ g j1 x1 _
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
% E, Z, y' n6 {+ B- H0 D. Z" q; ^: C- n
'源路由包,微软站点安全推荐为2。/ s$ L. d9 H7 B M% X7 g) I
# q- j2 `0 S+ |7 c( G! \2 u
"DisableIPSourceRouting"=dword:0000002, C9 g4 j3 w1 `! ?& t8 u
$ j$ ^- Q8 ]' C5 T'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。# U# Z4 Z/ h2 C- L, G6 W
5 I1 H/ m/ g! |4 s$ h
"TcpTimedWaitDelay"=dword:0000001e7 ~) n o6 l3 j/ N. a
* @# m R7 a( @9 ^# D, x
8.如何避免*mdb文件被下载?
5 j, d0 {9 e. p! ?5 o
, S0 W- {* K& C; d0 N/ T安装ms发布的urlscan工具,可以从根本上解决这个问题。$ W @% N) V2 x! Y
! L, r! u; X7 I. P: L同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
# u6 p" v" ?2 D) Q; [% q7 G; t$ A- W! r1 [$ |
9.如何让iis的最小ntfs权限运行?3 |5 y7 e, L6 S& E4 E! K; g5 z
3 W' {2 b! M$ `7 ^) T依次做下面的工作:
; x. Y( ~& d4 b$ k4 R7 X( o* I9 M" T% F5 V, l' y; A( w
a.选取整个硬盘:2 e% @; D: w, U+ a
% x5 ]) }6 A+ c" N. M3 U
system:完全控制) ]: U/ s3 n2 M. a4 {
/ M. J+ K$ o- Y# g8 o! B
administrator:完全控制
% L8 W9 _, ]+ Z, v' ~
# C& x# [# @% u6 k2 _(允许将来自父系的可继承性权限传播给对象)
9 ?! P3 x" J, Y' V9 K6 E, X7 v6 X" U$ O+ Z+ U
b.\program files\common files:
* q" k9 b( `9 D+ ?: A& V# \" k- |) s3 n! {2 m
everyone:读取及运行
, P* o) D3 _ k5 [, G+ u! F' K! `4 E) ?; A8 U
列出文件目录9 @& \& Y& X2 P& O+ ~; y* v$ b
% u& l7 M' E1 g. o4 v
读取
' t% W$ P3 k, j0 Z$ }* `! _1 D7 w8 |0 n6 ~# ]7 }
(允许将来自父系的可继承性权限传播给对象)% n! I5 o0 i# M( z
; s% L. _, i9 l7 M$ j: [c.\inetpub\wwwroot:
7 J+ l% y1 h9 V) O' i/ {
7 T9 G" U- c' Q4 x- Z6 ^iusr_machine:读取及运行
9 j9 T& x! W) s/ o) K
, H1 e! X& ?2 f) ^8 R/ K3 s f6 k列出文件目录, p( G8 y2 u2 [" @5 e4 V
% u' V$ C% |3 {; A! H$ @1 s读取' q6 i5 E4 X% v9 ^0 [
4 [, U# U5 `2 M& Z( K. O) g+ x) b
(允许将来自父系的可继承性权限传播给对象). ~1 \( O' i/ \ G* T
, s5 Y5 J @5 E* O) @2 V" Fe.\winnt\system32:
' ^( Z8 `/ G3 p8 z; J0 H: s8 U# w- w* `6 z; ~2 o
选择除inetsrv和centsrv以外的所有目录,8 C* B4 V' j* g7 P
# m& y% f P5 C! g# d去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
1 N7 E3 W- v+ D \7 m( |% s/ C" X& D2 Q; Z4 i$ h8 J' {
f.\winnt:
# Z% b+ C+ X1 h! n; D' x' P# _4 I5 S3 x. W0 I( l s% x
选择除了downloaded program files、help、iis temporary compressed files、& U# W; Y8 @$ \- w2 \% {# `, q6 O
0 T8 W: @9 P0 Joffline web pages、system32、tasks、temp、web以外的所有目录7 k* J' F) r& {/ p
- b- i' p; u# _: }4 R0 j3 H+ d去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
* W- Q& N% y0 n5 B8 _- C& j
+ d" u; V( ]; d5 R; U1 jg.\winnt:
* d3 f$ y9 [' r# |2 ^6 R3 X# q& X- o' l6 N
everyone:读取及运行7 d$ D. W( V/ _6 E+ K0 m2 Q
) V, y/ A) ~1 R
列出文件目录. `1 h, Y$ R% C
; G1 S$ m( K! ?! ]
读取3 \& e7 R% n6 f7 l, E8 V8 h; W2 p4 B
& B3 x0 f% L* T9 ~& [(允许将来自父系的可继承性权限传播给对象)
; f0 X! t! A# B/ I8 U8 K% D7 {' C \5 f
h.\winnt\temp:(允许访问数据库并显示在asp页面上)) r1 V. p! V, L, u3 U
/ v' \5 @( S+ k* ~4 m+ l/ X1 H
everyone:修改
$ h) u5 {% f/ T R. x3 @! d/ p3 g7 L& l2 E0 z7 ^
(允许将来自父系的可继承性权限传播给对象)
! G) W; v0 {( g9 L2 W& W, ~" g4 j/ O: q
10.如何隐藏iis版本?
0 Z5 f2 U1 F! a* J5 Q7 W$ d
' V2 n) W- ?8 a# F一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息! k8 q: M3 O" H! A
( \9 c" f) n. A" O y! Q# K
iis存放IIS BANNER的所对应的dll文件如下:& L6 W+ W' W! G3 Y$ ~; R& k3 i
$ e8 F) |5 N. {9 _WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL" I, f4 H5 M8 U' l( I! Z
! T1 g5 [) A% H, C# ]5 A% a3 C- V
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL" \) f+ o# P9 V2 Y
& d" I0 R8 W" BSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
" Y \) Y: _& @8 c) |1 i6 L' O- J, w) K/ Z0 J) B
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.01 h; V4 `! P" t# B
' R/ Y; M- x$ z7 m8 D
具体过程如下:6 P' v! A6 U+ r% V3 R3 u; q
9 r0 w! W. w$ d5 n6 _% U1.停掉iis iisreset /stop" u4 l. s: `9 s# S% }; _& M; H
! e# o- C8 m* ~/ K4 Q! K
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡