TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?& R. V; a! i0 Q Q# }! S6 D# U+ n/ |
6 M, c/ `- f1 x4 a2 `) M
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....0 S7 c: b [8 S1 X2 }8 b
2 N: e8 H; P$ g2 E- \( F/ j+ {/ M9 K2.如何防止asp木马?7 c: D% ?9 O/ J
/ F. G7 E G4 |' @7 c基于FileSystemObject组件的asp木马! M# O0 C3 d5 ? p2 B0 ]
2 n" ?/ G) i1 a) I: m% g& L& G1 M
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
2 J3 r9 d9 Z: T0 k9 b) I
& a- v9 ]+ v$ d+ s, \3 ]regsvr32 scrrun.dll /u /s //删除
* B8 [: Y+ }8 m% y- O, e/ l2 ~# Y, l3 }7 S6 l2 R" h; g
基于shell.application组件的asp木马
5 D! c7 S/ A, |' R: Q: W7 h# T% s7 M5 e7 M6 B
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
6 i; Y+ ^" r0 j s* [/ P8 z
' W. _5 A8 H8 r" B ^, Fregsvr32 shell32.dll /u /s //删除
. v3 Q# c$ }4 z* V+ r( j* H4 l9 M/ j# K
3.如何加密asp文件?
/ D0 l/ h; l( F5 j
( g+ L) x. O7 F6 i1 V从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
9 Q- j& s3 G' d) [, t2 H1 I6 h7 i- V0 h! U* U2 n
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。) W/ x3 i$ B- j7 r; |" q
6 y+ f G# R4 `8 M. x9 k' s! h5 @
运行screnc - l vbscript source.asp destination.asp
0 k9 b9 W& ?6 Q4 Z- N! W! l$ ]8 ` {0 P% f
生成包含密文ASP脚本的新文件destination.asp* O3 i- W, e( L7 X! N5 V
. J0 y: U0 y! l& f6 a- s用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
+ i6 ~9 k1 O) V+ n1 F0 t; [. h. G5 y" P% N7 @, v) b
但无法加密中文。; ~. e! ^4 j, T, x6 `7 H
: G1 _/ A) N4 |( |
4.如何从IISLockdown中提取urlscan?7 y6 p7 F4 j3 F% r C2 q) j9 @
4 E1 p+ w$ {; I v' _9 l
iislockd.exe /q /c /t:c:\urlscan1 H; v- V9 _9 B1 Q+ q8 E, L) G
S% ~7 B* t7 a* l; T6 Q, a( v1 E5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
7 z& G4 v2 j1 _ |+ z+ L5 }: }, u$ N9 E7 X8 k
执行
1 {! L- K9 [/ r! K" p. b0 k4 v: s* o3 d
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
. M4 t# L1 q. F. B3 k$ j+ w( G! J+ |( J2 @) R0 V* n- V" _
最后需要重新启动iis |" W$ K8 |, O* p# H/ O; \
. @' B0 U" \# |1 @5 A" m9 J5 \6.如何解决HTTP500内部错误?
% b* D3 ~) N3 E
( w3 T9 _ s4 [; B( riis http500内部错误大部分原因
! w) D4 ^/ s# C; v
/ n& q$ `1 u% L0 `8 v主要是由于iwam账号的密码不同步造成的。# a1 e8 f0 N& G8 x
9 e" l0 g( v8 s4 A4 g) G7 W我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。5 n D9 \8 u D% z( N
2 Y' T# Y) I+ G9 b& {- S5 W( D执行7 C# ?5 R# I' L6 K5 P: X" W: @
" N/ `6 V2 u* s% Ycscript c:\inetpub\adminscripts\synciwam.vbs -v. b- J7 W6 W m+ L, V. p @
" C5 e \( q: A* L7.如何增强iis防御SYN Flood的能力?
, s( E6 o' W+ w
0 Z% y5 }4 x, w+ n- d. }Windows Registry Editor Version 5.007 ^6 h1 D) Q, m, D8 g5 d
0 W5 @' k1 m5 [5 M) c[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
6 y% n. |. p& j; r$ g q6 h9 B, X: p1 A
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
$ l9 E+ W; [0 }6 P" e0 m
/ {2 F" Z3 `1 q'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
8 ~* |* `; a r- }' d8 _1 {' v9 W) l+ y8 Q+ E
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。" r4 U& f2 Q/ s3 x4 I( K u
$ O& [- V1 i* x" P1 g( H* p
"SynAttackProtect"=dword:00000002
! z/ c5 p, o5 ?+ T' ~$ q3 p$ s, z& z+ O4 Q9 _& m( ?5 ~: g
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态9 ?( v& |3 H5 B; ?) z9 E
! y3 e# ^' B' b; C) @'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
9 a s$ G+ V. a( i8 L3 Y- E; Q9 ~8 J4 p Y& v$ Z# U2 {* S
"TcpMaxHalfOpen"=dword:00000064. x$ Y; R$ K2 _; A+ p
8 L* T4 i. w1 e' Z; w'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。. o/ b) ?+ K4 B4 E& m! y
" I( s9 S: o7 X& S"TcpMaxHalfOpenRetried"=dword:00000050
0 |+ k; C* {" y- F% k
# X5 W7 X2 x/ P5 S' Z# Z' o'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
+ z/ ~' Y/ z- b& X1 |- }/ F I2 k1 r! d% Q
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
) l9 k* [. y+ [3 v" u+ ^! m4 `: y& B/ W6 l1 Z' x' v% U: W0 I
'微软站点安全推荐为2。& f3 V8 p3 S3 h! x5 ]2 _
- L) R2 N3 K1 m; {5 T$ b6 H
"TcpMaxConnectResponseRetransmissions"=dword:00000001& @" [/ ^' q" o- \# Z& F, M
9 V/ T) I3 P5 c* W. H; b. q( M
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。% ~3 v* E1 F# C2 S7 }& a; ^1 o
" h4 L( b3 ~( w1 R, N3 y( u"TcpMaxDataRetransmissions"=dword:00000003: z( M0 i4 m9 ^3 w4 b6 ~& ~8 g
' E' T2 R4 h# S5 V& \. Q'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。0 E1 X0 Y# v! y3 x* o/ B3 F
: n- o7 B, E- C }" v
"TCPMaxPortsExhausted"=dword:00000005& n, N% U8 k* A: V; d
, o5 b% c' m. K( c& _7 I$ F'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
) P2 {8 `# x- n3 O2 Z7 k% V0 m* ~
'源路由包,微软站点安全推荐为2。2 s% {7 J) s5 W' w/ J) }/ R; u! q
; Y0 G9 f3 U- \) J. T"DisableIPSourceRouting"=dword:0000002
) t( V6 w' j0 l4 B+ n0 S% b' v: g# {) g) `+ Y$ N% C
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。+ w3 K' i0 A# c& v. n2 a4 Z Y
+ g, k( n, }" n ?"TcpTimedWaitDelay"=dword:0000001e
# U \! X' \0 G: l- q' U- k$ ?; A2 w0 j
8.如何避免*mdb文件被下载?
! a- P0 b, a9 F5 |2 t
) \1 Y' H3 T8 g* h3 S3 Q. r安装ms发布的urlscan工具,可以从根本上解决这个问题。4 N5 B, u& j N$ G4 B
|3 n9 n, w* V6 `3 _
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。' s7 v+ j. d& B J, l
; f; T, V. e0 y* X
9.如何让iis的最小ntfs权限运行?
4 z s+ Y, s4 @) o/ X- E' i9 A
* N6 q' z' x. q* p依次做下面的工作:
! L G0 p* I! T) [( `. ]9 H4 P0 H v& i
a.选取整个硬盘:
% ]5 M# v! v3 d- x% A9 s9 w. D( S
system:完全控制; y8 M s/ ?2 d) ~
7 V' N* S$ r5 S- e
administrator:完全控制
* ^6 A9 y8 U9 g8 `. G9 ? a6 J6 w# [, i9 S
(允许将来自父系的可继承性权限传播给对象)
% _* q- A8 G/ a& L7 {
7 v% O7 t3 l6 o; ^* gb.\program files\common files:
" W' E9 ~, Y& E% ]' O7 G1 r& M# ~" ?# S( Y
everyone:读取及运行
. @, s! h/ `1 l5 C) R( x
+ E% f8 A* z7 L' F4 O6 y$ _: c7 q列出文件目录* E, B5 w& Q+ h; ^& I7 j* l
! ?) r5 s% ?$ d读取
/ R& ~9 e& a/ D0 A, D, x$ @9 X3 t/ R9 Y6 M/ ^( h
(允许将来自父系的可继承性权限传播给对象)
" Y* E' a/ c- m/ D |0 K( G0 ?3 p+ c! e; e0 z( ^# {1 M
c.\inetpub\wwwroot:) k( ?! l/ ?, m) O! u
+ w; \, ^5 i2 A9 Y$ @iusr_machine:读取及运行
2 t1 U% {; ]( j, J+ o
4 l* e: z$ r/ j( a1 i列出文件目录7 R. u8 V E5 n& y; z' c' ~
% o' A9 c1 X6 I* G* g读取: P% Q5 V1 I* \( V6 D, _
3 \& f1 d' @ o(允许将来自父系的可继承性权限传播给对象)
9 L, a2 N; M6 E7 {2 A3 j. r
6 T; Q! @) j% T8 @, W* ]0 d1 qe.\winnt\system32:! X6 l5 @( l8 s4 b c
; l! X9 U7 m6 x0 K' }选择除inetsrv和centsrv以外的所有目录,
2 t8 i, q! [/ `0 w7 z e! v; o8 S q5 A# X4 ^% @0 ~
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。7 Y) F! X0 @/ b$ z
8 b9 [& Y$ \, T- d uf.\winnt:: l' }% R s' r
! c3 M+ U0 g) M, N# t
选择除了downloaded program files、help、iis temporary compressed files、
3 J& _3 _2 t. O# b! A
8 e4 \( I% H! j. q5 X5 d7 Toffline web pages、system32、tasks、temp、web以外的所有目录
! Z1 x# U- n) P4 K$ Z+ i3 ~- h# B
: o0 z( @' c$ A2 d+ v. ~去除“允许将来自父系的可继承性权限传播给对象”选框,复制。8 s4 q( V& B/ T2 P
* V# U1 w0 F! R$ Vg.\winnt:& w: K/ A1 R* [' r0 i% k
- z$ b7 F; P' t$ u' I; j: X% ?. Q8 ieveryone:读取及运行5 \4 u( K' k9 G) Y" R& n
+ b' F! @/ _" u* G0 I7 X列出文件目录" f" |$ J& O6 l' q2 T3 L5 q2 m4 ~
- g% O8 {* n. o- @7 C7 \
读取; m. Z$ f+ Q9 X3 V; W7 i% H
* @# k4 _1 b1 w5 H: x
(允许将来自父系的可继承性权限传播给对象)
# x$ w) Y! r0 J1 u) q0 ~/ `' a3 t1 F" e4 v" v" p! {( e8 x. f: T. ?
h.\winnt\temp:(允许访问数据库并显示在asp页面上)4 H6 Z* q, t7 E! H8 m+ _ o
, q+ |# K& ^ r+ Reveryone:修改& W$ q9 d% B* R9 S# J4 s
. R7 F+ u" F# w# @6 r
(允许将来自父系的可继承性权限传播给对象)) |! ]& {! o. H) |, {% R: ^. f
# Z& W m$ a6 l4 U6 k
10.如何隐藏iis版本?
( A! X* M$ s% \2 |" d" D- ^( r% i# c$ D
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息, E" N2 d5 |$ m
) r' q7 O. K5 p# F
iis存放IIS BANNER的所对应的dll文件如下:
8 ?$ l4 k8 A, ]' M' W% S G( e' [) T9 e0 h" G$ h3 L
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL [' z# q. r5 T
4 i! x2 n% T' Y1 O# \& Y
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL1 v# ^8 b' k H6 @5 a7 D
4 F, x# d0 g7 CSMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
- {" q4 e O% D7 X6 ?
" u+ D9 K$ [/ v* s8 r8 ?( i你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
& t X+ z3 } b
7 C1 q* j* e" U具体过程如下:1 {9 \3 ]0 W* T: u0 Z9 \
0 V; s0 r* }* a6 i& c1.停掉iis iisreset /stop8 ?" b0 j7 E2 N% _0 W1 @
# U: j) `0 X# E/ U3 d2 N+ y9 D2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡