TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
4 Q3 |3 j" B3 }1 G- T5 P0 {! ^4 @
. x; B" }, q* h( q修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! s% T% H/ H% I" w3 B5 J% w
" X+ V2 U2 n- v2 e0 Q4 _2.如何防止asp木马?3 N3 c8 {# H# q- E, K. h
5 S* ?( k: n! C, `- M
基于FileSystemObject组件的asp木马$ l7 x# R( P& F1 a- z) n
! ~- I! Q) _ m, B3 e: s) bcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
. @7 @) H! d5 n
) B6 X d! E7 N& _$ mregsvr32 scrrun.dll /u /s //删除 C' s0 I8 \* H' Y
8 U: {( K$ R4 j; P
基于shell.application组件的asp木马2 u' F$ D* h" p7 e. U
- B l% Y# Q6 c) x9 ~- ]cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用8 u2 k5 N" \( ^
# Z4 E7 Q* H8 a: R+ J1 G H
regsvr32 shell32.dll /u /s //删除
' I+ C' [, W1 o1 Y' K) B! M
1 l+ A, n# M3 y( F8 L3.如何加密asp文件?
% E/ g2 Q' ~4 w8 d& g
3 M8 s1 r* t# x) V C从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
# S3 P4 T. ~! f& o* f- w9 x$ W* j
: P q2 Q" X& l安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。8 f6 r2 X/ d9 i
j. P2 W5 @) {* [- l/ {, L运行screnc - l vbscript source.asp destination.asp
7 `* U8 U# h% s [' B7 h/ h1 f
^: H0 f; ~5 X$ e; ^' N8 `0 J4 s生成包含密文ASP脚本的新文件destination.asp
0 Y5 _# ~8 [) R3 W) U. M
1 E' V; j' \- m用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了9 K/ p) P$ P8 J# e3 ]0 M
# z9 p0 G( z2 Q# O7 N1 h
但无法加密中文。' q; \# v; X% Y# D k* ~
: X$ F; d; F# L0 k' F& c( t R# A4.如何从IISLockdown中提取urlscan?
! ~4 E! ?$ X8 v4 d7 o5 H; |) ?, Z% H3 q" P
iislockd.exe /q /c /t:c:\urlscan
3 W) v9 J3 w& g) G+ }! U, Z l3 d* n: ~* i# P! \% N/ _$ @4 E. q# k
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?8 N6 G, \. b, D, \
* B: O5 j$ B4 U z) j, i执行: O4 Z0 V4 S. n4 S9 i6 m
( ~* u9 m1 z& d& L4 [ W' T& Ocscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' @4 I/ o# H G, C/ T6 U( q$ T j; q% x3 ~0 e( Z
最后需要重新启动iis; F4 t4 s0 U: f% b. h* U& Z
Z9 @- i3 z2 b2 [8 |* Y6.如何解决HTTP500内部错误?( u% g7 g: A8 V- G& b4 d; ~
; g( @3 Y9 k7 p' T
iis http500内部错误大部分原因
4 d, Z+ {2 b- y! f3 n6 V0 U- P0 B7 R ^
主要是由于iwam账号的密码不同步造成的。5 k! d- W9 {( r: ]
1 i+ L+ G5 U3 O! S我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。3 x: {% O+ o8 ^# [' h- J
0 x+ e- Y* v* u4 t$ E! Y7 i
执行
$ V/ r! Q7 \! ~3 {9 c+ m: Q) s$ B# X$ ?1 S& t' k) A5 k- h; a8 |
cscript c:\inetpub\adminscripts\synciwam.vbs -v
# h9 V/ w9 `% w" K5 d1 I
6 o" O+ V! m+ B! s7.如何增强iis防御SYN Flood的能力?* j T* \: S/ l8 y* c: b
& }# p: W+ @* V
Windows Registry Editor Version 5.00
: g9 Z- ~/ G' O& D# M" L( E
; N) n+ m! w K[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters], Q/ \7 i' x u1 E7 e7 g
- U( t1 }- P; g& e
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
: E$ h$ Y$ D! K9 h, P8 g2 L) A4 O% o+ N x' K
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
7 k; Y+ o8 t" b& Z) i) e. E# A' M
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
/ r3 _7 F, C6 I
, m# }6 O8 ~4 Z: u% o"SynAttackProtect"=dword:00000002
) E9 p8 @2 t1 t% G4 Z# c5 B$ M1 ]' l! i M
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态! I3 S8 G+ d/ U2 g3 v4 h
( {5 W9 H. S. H2 K8 B'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
2 X$ }% W# x4 [. x- C1 N# [' y& r7 O1 N& N
"TcpMaxHalfOpen"=dword:00000064
. F& ^, `& I/ i& O7 I/ p5 l& f% H
, Z( V# u$ h4 r! G" Y'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
2 g3 ]# Q5 s( O4 a; C
4 i6 g( Z% d' S+ C& m; z: {"TcpMaxHalfOpenRetried"=dword:000000507 k+ m# J W$ S4 b9 ?2 V8 b
8 i5 i( U) ^$ |, L/ W! h'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。0 V1 z; g6 \$ W8 p" M
9 J( R* m3 }4 C- G$ _- M6 N& z'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
9 S/ m# v, W: \7 b' ^, d6 |; \* U' J3 w X
'微软站点安全推荐为2。% J0 e/ z/ Y! E$ u8 [
0 e y- j; e0 R) G* k2 a! t
"TcpMaxConnectResponseRetransmissions"=dword:00000001
. [- m+ c. g0 I3 t
& F0 X7 Q$ ]& p" ?5 l( l2 Z'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, Q' _* M- c: w. m. c
g9 x/ B) d9 O"TcpMaxDataRetransmissions"=dword:000000039 f5 y: e p& O6 `, Q1 l& @
$ Y6 w& y: p0 i3 Y
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
; J( ~' V+ B( f* `4 h; O3 X0 N% K5 {0 E% L
"TCPMaxPortsExhausted"=dword:000000052 X2 m4 n- h4 t
6 g8 Q1 V! x3 s+ W
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
* p8 L+ L- l) K% }3 G5 y
1 K" @3 W2 ]( V: W9 M; s: s, G3 j'源路由包,微软站点安全推荐为2。
6 m& ]- X, P `! Z, ]7 g
, T& e* c: w2 }4 L5 n0 d; m"DisableIPSourceRouting"=dword:0000002 J$ l5 K. N$ C
* B7 q. K$ i4 |9 N! {4 E5 Q
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。% n" F2 s4 v9 C% M1 y4 `! ?( M1 H
' d1 @ L) R2 H( w) Z7 M* f"TcpTimedWaitDelay"=dword:0000001e8 o- U# P$ T8 p; c& y3 v
/ V* F6 B& _0 ?4 ]) U. \
8.如何避免*mdb文件被下载?
: i( {/ h4 `% \& {4 J* K/ k% r. v& P4 U7 s
安装ms发布的urlscan工具,可以从根本上解决这个问题。. g7 ?" k, w4 E+ g n9 k: }$ P! K
1 G2 @& t. H7 f1 O+ [
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。+ {1 D& m' ] z; @1 }
. B% }$ ~# o# J% s A
9.如何让iis的最小ntfs权限运行?
$ E$ A- h$ q' F: z) @0 Y
5 g$ ^& I4 n+ e3 Q$ l" |1 j依次做下面的工作:; u4 x N) j. p, \. T3 X
" k6 C# p0 r: G2 g: e2 r wa.选取整个硬盘:+ p f; t) _4 K/ ^2 W: P R
2 `) N4 M0 g$ v% {; M
system:完全控制
! _$ {. \6 j9 M; V y* ?2 N7 J* x) {! h
administrator:完全控制) D( z1 z" t( h2 N- e
7 H! F# \! a1 h* ]" I/ e" F
(允许将来自父系的可继承性权限传播给对象)
6 \6 U! Q ]( x5 K9 ]% J
: a5 g1 P9 s9 _5 Z' c, Vb.\program files\common files:/ e( k& H. `% u: e/ C9 r
, V2 g$ y# l5 j/ ueveryone:读取及运行, J1 s) \ ^5 ]2 z/ P ]
6 i; `7 a2 r! I& j% l" ^列出文件目录
5 H, F& }( M b' Y! W& f1 b0 Z& n! l* v5 }( v# K* Y( z# i
读取
3 C/ U8 b5 k9 t$ u& S6 W( d: s2 _5 f
(允许将来自父系的可继承性权限传播给对象)
d& o. k) l3 ^+ V( S4 D
/ i8 i0 x3 b2 `7 T( S8 ^c.\inetpub\wwwroot:
9 {8 e9 D8 N+ ]/ ` d% \* y( S, k9 ?6 I( p
iusr_machine:读取及运行. s7 {: U1 V& S, k. Q \4 n
4 N1 @8 y. p5 P& W0 a9 X$ k( _列出文件目录
; u& E, e* A1 u, m1 }
# c0 ^$ P1 R# H' t+ |1 {读取- I t. B9 S; ^& {! S
( W! N, ^ d" d(允许将来自父系的可继承性权限传播给对象)
- g( E h5 }+ m4 S
, N8 R* S- w) m5 te.\winnt\system32:
6 `6 P$ `+ B, y9 X
& }$ j2 c0 l1 {9 ^! X+ D选择除inetsrv和centsrv以外的所有目录,5 u8 @$ l7 m" l" t
/ X+ U1 M: B' H# T1 H3 W% n3 ?
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- x( S& Z A! o9 z3 o( X! o% y
3 a6 y) @" o1 H( U
f.\winnt:
! _# _5 R8 d, ~, |/ q* {
. V, x [1 P8 C' _1 Y选择除了downloaded program files、help、iis temporary compressed files、# X& u! @; L- t
0 k: Y2 f+ ~2 E& I' n/ Y( c
offline web pages、system32、tasks、temp、web以外的所有目录
' B2 S) C8 J1 z8 r+ g8 X1 f x( @; n. `- Z6 e
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。1 B, f l* [1 k; V* P& H/ ~
4 H: ]9 T" N f8 C: R. @1 e/ Lg.\winnt:
; ~) y) l8 h0 x, J7 R- ^' q, [; {* z$ V. T4 N' v3 `$ _
everyone:读取及运行9 V4 [) P% R, N L( }7 ~0 X* C
4 d2 f T$ }" T4 K9 T- H$ r
列出文件目录
+ G2 S$ Q, `4 f& b
N2 |3 n* b( o# v读取. x v; l# Z7 B. ]4 k1 Q
4 s) O/ [% b# d1 y, d( x9 d
(允许将来自父系的可继承性权限传播给对象)( t) C, q$ o5 P2 k7 d
- w8 G$ l. {( O7 a% v) wh.\winnt\temp:(允许访问数据库并显示在asp页面上)/ i0 C# ?3 i1 f( ^
& G! L* O6 S* ~" `% W/ Z
everyone:修改 F) i% P! z$ z4 T, A; z
4 N0 q- I3 A7 s% G
(允许将来自父系的可继承性权限传播给对象)
5 p8 l# p1 l- ]1 D |7 ]' y/ O3 f, P3 J3 f+ O4 M) N; v
10.如何隐藏iis版本?9 K& d. Z" B: P1 ?; G0 y
; u: l' d/ {9 d" b3 S& D# m* y
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
. a% g& C% `+ b5 Z6 }+ K' w: j% O' i
iis存放IIS BANNER的所对应的dll文件如下:1 M# V' P a" d- q. c
5 p' {- m$ ^! ?5 Q$ F( N& C/ EWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL8 O5 s3 T1 @. C- p$ ^* K4 ?
! W# V; k: r. d( @3 |FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
3 F3 i% Y* G+ _- a+ T3 B: \" T4 }0 ^; i
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL- E4 k! s1 u/ Z$ Y! a& i
; U0 x- z% n* ]你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0' o! b" ~& M# a+ h7 V6 C
0 [3 h2 E" s8 T9 k具体过程如下:; ~+ L$ g% b8 {7 H3 v$ c9 M+ r
6 v( u- J k9 G1.停掉iis iisreset /stop
; S& h; B7 K n6 `8 r) h3 u7 F/ H
( b( y& ^# u9 N! d0 A8 k2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡