TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?* {) `' m3 C* _
! @2 K& W8 `6 H修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... C2 M! `/ u- |# n* l
" Y0 _0 |0 \2 ^
2.如何防止asp木马?- o+ ~ p* g* \
8 _4 O; a# G1 W* i; r
基于FileSystemObject组件的asp木马* R" w3 |4 C' V3 U
# D1 ?* W4 Z [2 F6 x9 x# ocacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用- v# F5 V* E; ^; A
/ H' `$ _2 d5 {6 r# h# B( eregsvr32 scrrun.dll /u /s //删除* G2 f9 q9 p+ j( E3 Z6 V% J$ |
; r* K8 M1 p* `, x基于shell.application组件的asp木马
' O% I/ W: I" Q% b/ k& ^: |
5 F5 \# F6 D9 K* _: pcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用" U) v. B: X% ]. f; r
# t( U: a! c5 `8 \/ b1 n: j* M
regsvr32 shell32.dll /u /s //删除
- o. M' z* i7 X% a- P9 K5 W6 [9 f2 h( `+ i" d8 W
3.如何加密asp文件?
! H3 Z8 Z# C, e7 }+ L1 z# ^" V
2 U' Z) S$ k% L6 U( N从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
$ b# G3 d( R4 M& Z9 \& B3 N! c
- S0 x3 w5 \3 v! s- k; `安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
* H! N+ N" p/ v; n% T
! P) N' H& R; Q, E- Q) Z. D) L运行screnc - l vbscript source.asp destination.asp$ w, S# ^" F% x' M, o% a
3 c: y4 b. n& J生成包含密文ASP脚本的新文件destination.asp* B5 o5 ] W$ \4 d4 D
' a' m& t! }$ ^( ?用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
' l% z$ O6 N& h, l
: `/ A' X( m& ]$ f$ ^ o但无法加密中文。8 J' I' g7 Q8 V. L2 g- y
5 A; O2 K" d7 q" _# z4.如何从IISLockdown中提取urlscan?, I9 @' u0 ]& z
: v7 A4 H2 o, t6 `" { \iislockd.exe /q /c /t:c:\urlscan
+ W g# n% ~4 x) ^; o: e4 b) c6 G8 l$ J; T7 _) Q
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
5 n3 ?% |6 Y2 c' e. i3 k
% o! ] Y" ^' d执行
# _3 z, V$ b" L t# O1 q9 R D; {. O* w9 \8 e0 k4 I- @; I
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
- j' N+ _0 w+ `8 @2 E) T
9 q* N- `$ C( X! c最后需要重新启动iis9 K1 b( D4 c8 D/ }4 O
3 [: Y( w+ A3 |* d* n% g6.如何解决HTTP500内部错误?" J$ B7 ^4 d+ I! ~7 I0 Z: P: \( r
9 \+ D/ a$ C; p/ i/ E
iis http500内部错误大部分原因
, W" l) A/ x& T# W
# N' l' F) X0 R. e2 e主要是由于iwam账号的密码不同步造成的。
6 M% Q/ l3 I9 n h6 K/ K1 K9 G" D6 s& R/ G! ~& z; \
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。$ u# T R, i$ q- s
/ H$ t7 l6 U! Z, N0 W. O
执行
- k2 o8 @' w% e
$ \5 y) z# Q9 ^! G# _5 scscript c:\inetpub\adminscripts\synciwam.vbs -v/ a$ f: {8 s9 b; i' E0 x' N% y% ^/ K
4 t4 }. e5 m" Y* p( }. r6 ~
7.如何增强iis防御SYN Flood的能力?
- z0 \& o: G: J" O
1 Y: W' g( h+ y& Q1 r) [Windows Registry Editor Version 5.006 h, s1 `5 }: }! D
5 M2 p, O4 j; \# [% u& Q$ i
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] b6 q8 h1 g7 f4 l
' @7 ?/ a" Q+ Q# m, s0 _& C
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后. e4 g8 y3 i4 B; X+ q- j
$ \- P7 `1 W' k; }- N2 S7 c
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
# z: H2 F5 O2 y5 s! U6 |2 }, a: ?9 {: J ~3 M0 T
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
; M& X5 B" f/ X2 m8 X
+ D2 H* ?- U! e, D3 f( r" h"SynAttackProtect"=dword:00000002& ^1 N4 P/ ^$ {0 |# |8 w* O) p
9 x, e4 _# o M'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态8 n# `: B) x7 o
9 }% Z- Y. D9 }. ?* k
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
% d& W" i3 s ]2 L( n3 h& h. N6 k2 W1 \+ t l' ~& k
"TcpMaxHalfOpen"=dword:00000064
2 r' ~4 [7 b7 x" C% d1 A- @3 H! t6 D! R( y# e; T6 k
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。' K1 b9 V! Z+ u2 y5 F- a( S
& p' r$ _; u! W1 _3 `. A* k" u
"TcpMaxHalfOpenRetried"=dword:00000050% q& r' c6 b1 ~' G8 {7 D8 }$ n Y
; C2 F. d! z) n, e# o'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
3 A. a' b. F$ s; W/ `2 T6 Q3 B! D' M; Z* s s, F) `3 `" [/ i
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。# H' R6 q! O: K8 G$ l" ^$ |
$ _ }$ C2 s0 _7 j/ O& ^- x
'微软站点安全推荐为2。' B8 d1 f) h, ^4 w" j: |! U+ i: u
% V$ M! X) A2 S2 b"TcpMaxConnectResponseRetransmissions"=dword:00000001
d/ P. ]+ ^! C
+ z. ]) a9 `8 I" c! }: H" s8 [- x* t'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
" p5 m4 T6 t/ l2 B) @% [6 T) K$ A4 J0 J
"TcpMaxDataRetransmissions"=dword:000000032 m' U5 Y) r# v& j' a: K# L" C
$ g$ j$ H+ p5 b' v, ]0 a2 S- G1 ^
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
) @9 Z- X. ]# s$ o2 e6 Y
( L& U. j" p1 h"TCPMaxPortsExhausted"=dword:00000005$ G6 F. m+ T4 B4 U: Z ~
. O6 o8 I2 l' P3 W% Z5 O
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
% j0 X4 Y7 ^4 P j% D! o
# T8 r, I0 I6 X2 B3 w7 o, ]" z! i'源路由包,微软站点安全推荐为2。
_. D- \( r4 L, J* q
0 I5 m) c/ @0 r3 v |5 x; ~$ i"DisableIPSourceRouting"=dword:0000002
2 y/ c0 v3 k, a l7 v z: z
4 o% t7 u F; L# ^'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
) T0 l+ ^4 v3 F) k; V# K7 I* l4 l# T3 G7 B9 P
"TcpTimedWaitDelay"=dword:0000001e$ |* B. E0 o6 d% Z9 |5 l
5 k! ]* z; V$ N4 |% P0 t8.如何避免*mdb文件被下载?
' r, ~' ^6 N$ m( \8 u R* P
' P2 c% ^) E+ Z安装ms发布的urlscan工具,可以从根本上解决这个问题。4 }$ r+ D ?/ c. u& P
" C/ P m- F5 Q& k4 {8 t0 c
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
! z" g+ }. Y5 w n: O$ h
6 o; ^ M/ I0 J9.如何让iis的最小ntfs权限运行?1 @: ~' |+ l# ~$ L
( P+ Q/ t! r5 t/ M0 N7 c依次做下面的工作:! {! I. S, R! A. N, E% J" ]$ A
: s$ D3 }$ j( H6 ?; a% O
a.选取整个硬盘:
% ]* K1 e, z! |# U- G9 I( U! ]7 e& m5 [2 I. m4 R1 }7 K2 U
system:完全控制$ W- _6 `" U* x1 q5 O
) c/ n# b+ M4 C+ \8 S" v8 Q( n) O
administrator:完全控制/ A3 p8 \, W# |- Z0 g
: ^$ j7 J* k8 r+ f( h1 W: [- M(允许将来自父系的可继承性权限传播给对象)( U& L6 u( L J ^
/ ^5 L3 B8 M- M0 e
b.\program files\common files:
7 x. L9 C+ \+ e% u0 }6 W4 t& c/ I0 M3 ?. U' S! S: y$ d
everyone:读取及运行
2 M& @% x* C8 h5 g/ H; i6 h. ^& W# ~, i) H: g0 d
列出文件目录7 b" F; y4 a! {# p* ?
4 W9 @$ A# F8 A J: w
读取/ m3 q# [, D! z" }
% G V( D4 e3 _, e- O
(允许将来自父系的可继承性权限传播给对象)
" b: }/ A R9 C5 t; o/ t9 {6 g0 c2 U O$ f0 [
c.\inetpub\wwwroot:0 @$ {" L1 P+ U: w( g, s& u. _
) h, v: I9 f- M! n& P3 yiusr_machine:读取及运行
& [9 E6 r# s: i, Y/ z3 [( J, r1 ^* N4 z
列出文件目录
$ k, }: t0 B/ `, O5 w* D6 ^5 l6 f+ N( [2 D; P/ M2 v
读取- O; Q$ e2 E( g$ @9 D
4 a* S0 y: `* c. b% E
(允许将来自父系的可继承性权限传播给对象)
1 U P1 ~* i$ }2 z2 t4 Y s2 V0 g
7 E$ v" G( {% ?/ v4 C8 m- Xe.\winnt\system32:$ Y" x% X( J' q( g2 `2 Q
* h4 Z8 e g' J7 h4 \1 x选择除inetsrv和centsrv以外的所有目录,; K* Q" P$ m6 V7 P) b( B& G. S2 O
$ U2 Y5 b" C. O4 f L% S7 N去除“允许将来自父系的可继承性权限传播给对象”选框,复制。2 w" w! P. f D6 }% [9 n3 }
r+ p9 a& w D+ E; U: vf.\winnt:1 i7 Q+ Y( c. w$ _( _% t. ?$ g2 x
6 k( X" ]% F! j I! s) ?4 O w选择除了downloaded program files、help、iis temporary compressed files、+ E0 l/ O, n8 J7 t4 J
; a+ M& c# H8 `9 Voffline web pages、system32、tasks、temp、web以外的所有目录
$ E7 k M0 |3 d( K- f
; x. R9 u ^/ g2 Q) ~' _! y去除“允许将来自父系的可继承性权限传播给对象”选框,复制。2 g: b# c/ C1 _+ R& p9 e
+ o- f. v$ A. l, x! ?/ K( T6 d. Y
g.\winnt:
/ A: F1 G, F: c- p2 Z o( K3 g$ P! \& ?
everyone:读取及运行5 ?; n) }# _0 I
- F9 J/ G0 m2 Q列出文件目录' }1 Q* ] M; q+ J: s- b
& H( a/ Q. N+ `* `$ N2 `# w* d! v
读取: f; H l, E/ n; D: d) n4 S( y6 H
/ z/ p+ i- s. h* N. P(允许将来自父系的可继承性权限传播给对象)
$ q7 w1 ]9 X* A. ~. I5 b$ \
1 L( z7 D6 ^2 y5 `1 Y4 l' q: Ph.\winnt\temp:(允许访问数据库并显示在asp页面上)2 `$ I, a$ h& C# J& U1 F- ?; l
; F: m" L, I ^, d, I% C
everyone:修改
1 f$ b/ p# Q5 p! B+ @
$ c# G! U* F5 z6 @6 y(允许将来自父系的可继承性权限传播给对象)4 O2 Q" y) Y# f* L% p
$ ]( h/ b( y1 K+ L+ U1 K5 z
10.如何隐藏iis版本?
2 E$ q1 r: |1 D5 L
* c# R$ J2 ~- E, W/ g一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息0 U& o4 Q% S2 q; O' O" ^0 ]" A
8 p: P0 W q9 }9 f3 _4 _9 V
iis存放IIS BANNER的所对应的dll文件如下:
7 C) n' i" j4 P/ L
$ I) Y+ `$ f7 {( b: \4 x' q& \" @* RWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL1 ?2 S% |; [8 |: [
2 |( P8 L+ S2 p
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
4 s5 }3 P i. a3 }9 m# h" f; C8 M
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL/ z& q |2 Z7 a: l0 U
2 Y v% B6 k+ r5 t7 E: d! l) h6 ?你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
8 }; B4 |( h3 O% b3 K
4 S6 h, E8 q( _7 p1 d, `0 l/ @( S具体过程如下:* w7 z# c' r- {1 G. `6 s, w* g- q' @
6 u, l/ ?. r# N: |1 D5 U7 |1.停掉iis iisreset /stop
) T$ ?- c& ]7 m. ~
5 [* O3 ?% R$ u, B9 V O3 O6 C% H2 Z2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡