TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?
% D' `9 x4 f5 c0 D+ p# m# _! H# F9 J, K6 Y. }6 y$ D) ?4 O3 n
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
k+ a, X* \& x: n R% d' J
1 A/ N8 X C i, F% D Z% F2.如何防止asp木马?0 } Q. S7 @# J" o5 }- S
5 d. ]0 D: O# |. r% D3 b6 k$ B3 E基于FileSystemObject组件的asp木马
4 ?/ p8 [5 ]- V/ u3 ]+ {5 V- x" W4 @) x5 q V( g' ^* G( w
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
( z. l# s4 _# ~% M% C# u1 ^1 ~* ]7 n5 w& q; b" p% t, ?1 v) L4 e, R% ~
regsvr32 scrrun.dll /u /s //删除
2 f' i1 k: v0 Q8 P* _6 s7 B. z) Q' m& {- n5 |2 W Z( l
基于shell.application组件的asp木马
+ Z- y2 C8 I9 T" `+ U
7 v. T# f0 z: ]cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用& W0 S$ @$ d% o6 K$ }1 w
! k! r6 L* ?3 s2 u, g) f9 k# gregsvr32 shell32.dll /u /s //删除
1 N% n b9 w2 U: j* N* V* p$ ?1 }5 l9 Z( e
3.如何加密asp文件?2 W c. I5 g" w5 m: [5 h+ a
: _+ a+ P; S5 b) w
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
8 u+ v. ~# T- y/ ]9 {0 p2 s6 T$ Y4 @
' S% N+ K4 L# d" a* W0 F9 y) T安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
3 L- p/ Y ^6 r5 a5 v5 P4 z. i; r- ]( M* ^3 k3 t/ V. _1 W T9 {; P
运行screnc - l vbscript source.asp destination.asp4 p: i5 m5 f& b8 V+ n( ]- ]+ }, R1 f
& o4 D3 a# G* e- `; g4 O7 ^ H
生成包含密文ASP脚本的新文件destination.asp. [# Z" [! O7 [2 n5 q
( T' Z& H0 A1 h" c9 O8 p用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了- H7 D" J$ W5 T- ]
" s7 s1 u. g$ I; l
但无法加密中文。, k; [" C( H/ _8 ^" k; c: J( I
4 ]: K( K$ z0 ]$ x, g9 ^ w6 @4.如何从IISLockdown中提取urlscan?2 n& x+ B% J* v1 H9 Q. }) ]9 o$ Y
( t7 T9 b6 X: P2 H& X) S
iislockd.exe /q /c /t:c:\urlscan' R: `0 ^ y& W7 o2 V) A
k# P! T9 J; M# l$ f8 C
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
* t: }$ d* v3 h6 z( K! l, m P5 E' b+ d
执行
2 ], j. R; v+ L- n4 J, n: K( U* v& d5 Q/ d' Y7 j8 S7 E! B7 i: X- c
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
7 r# J' z# a' s+ |, y& g- u1 \ z1 G( Z
最后需要重新启动iis2 W3 m/ I( s- J/ q0 g& {
. I2 T0 j0 {1 e+ C% {
6.如何解决HTTP500内部错误?! y+ v- S& i" [0 b: M
# o7 V5 L5 Y. v& D! i# C! m. M( j& Z3 tiis http500内部错误大部分原因/ |7 a3 A/ e5 a& w3 }! c2 z8 m) U
$ ~" u+ h _* ^& V( J
主要是由于iwam账号的密码不同步造成的。2 x/ h( J( a# Y- J# m. x
+ x. ?4 f1 m9 U t* Y我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。/ ^. N% l& \7 G2 Z* P
+ G8 I6 j" @ I* l* s执行" ~% c3 c5 c) u$ a& I% C
: l& f& @8 O5 a( T4 k* z" \' j
cscript c:\inetpub\adminscripts\synciwam.vbs -v4 \0 V6 T) S+ v6 d6 l* ?
5 h. w3 _9 a6 i+ n9 Q
7.如何增强iis防御SYN Flood的能力?* z0 H) S" R# P& z
. E0 j1 P3 x* E$ @% h9 iWindows Registry Editor Version 5.00
# _- {! f. n: }6 T/ z% O
3 b1 c2 e2 Z! b6 e% s[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
0 J, _& f( @8 m/ z! j x x6 u8 E1 e6 N& U; y& W; [
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
& U" U( F/ s2 y% T5 _3 _4 e g1 s
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
- A. A& Q4 I. D0 W5 u* g
: [( _6 r8 W: [) C( Q1 H4 f: t1 ?'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
# L8 F c2 D2 Z6 y' b$ O
" e* f0 }6 e) d1 G' [& ^. d"SynAttackProtect"=dword:00000002
3 x E# ^5 G5 i. j& Y' S5 @' G$ v: \& w0 X8 Z5 P) j
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态! t8 V# ]+ R6 t* V Q
3 M$ a5 V6 y$ t
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
- y) G$ h, G& P* ]" S. h( N/ y+ c4 E$ Y# Y9 a, }, ^" t- P
"TcpMaxHalfOpen"=dword:00000064
7 O- N; m$ H( B2 j8 ~. W! r, ^. Y
/ d) M' c1 u" V, I, w) r( B'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
9 X7 a' P g$ n+ G
0 |$ r* T1 j/ U; J: E( ^"TcpMaxHalfOpenRetried"=dword:00000050
- {& R$ E8 W, K: E E( p C5 U& m9 Z9 o5 `, A }
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。8 o$ O( q1 ^- g0 T9 `
) Q ~. S A8 Z'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。9 g! O" e7 P( @! Q4 o6 s" @
: V5 F$ O- M! U* b" y3 p- r/ y
'微软站点安全推荐为2。% ?3 w+ C! X* ~( j1 z- c. ?9 w+ _& E1 J
: ?- e: M$ v1 H"TcpMaxConnectResponseRetransmissions"=dword:00000001
# ?: f( a. e) P7 r
$ [0 X7 j! n% t) U5 j'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
+ d$ I7 Y/ x5 ^+ L
# q0 c. Y0 T( t"TcpMaxDataRetransmissions"=dword:00000003
5 q& p, W' w" c: H5 o+ ^
1 d4 @+ k+ F4 x& j# H/ E! X6 C1 j'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。2 v. m5 V9 d/ o6 d
2 E" Q1 t( u) \7 w8 B1 s0 v( @
"TCPMaxPortsExhausted"=dword:00000005+ \3 F6 w/ D l8 i; F! n5 d
8 O5 m5 V( i G6 i! h'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
! Q4 L" Z2 o6 D3 q9 i) Z+ X
& }8 c+ g& R$ T5 g. t'源路由包,微软站点安全推荐为2。+ F2 r' S5 P6 t y d
/ u0 R' h, |5 ~6 o( U# r"DisableIPSourceRouting"=dword:00000025 }3 s: b) M3 m- u; _- u2 f# l+ |4 W
! n- E, ]$ q1 g% C: u/ z7 c" z'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。+ R6 i* t5 d& W& o9 ^; E- V
1 I" G5 d! o5 U R; y
"TcpTimedWaitDelay"=dword:0000001e
m" U; Z! l% |; \3 B1 d) u/ N% A. q# |, `! _# i
8.如何避免*mdb文件被下载?
' e% i5 L) ?9 V2 E+ S* j8 G4 z9 b4 }
安装ms发布的urlscan工具,可以从根本上解决这个问题。
% R' Q+ ]5 |! n7 v: j: y$ A K$ z2 c
8 u- f( a0 {3 ]& M1 z: K$ Z同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。, X' j( p5 G5 s6 h- U. D+ t
3 S3 |" \% |. S2 k; [0 z7 K6 z0 b3 Z' H9 q9.如何让iis的最小ntfs权限运行?1 r) H3 B, F% ~% [7 L. q
* L3 P0 C" @ [+ Q* m1 x% y1 `, D
依次做下面的工作:" O; t( `+ \& s& g! X! e( |. x
7 i5 C/ \3 E$ e) n8 U C
a.选取整个硬盘:
8 Y. j* z/ c* j5 v1 @
( B0 D+ s z: `# A. nsystem:完全控制
; |. s/ n1 w5 k& i; a+ z+ ~- F2 W0 b* V t" N
administrator:完全控制
. o+ A5 x" e9 S0 b, h
4 [0 r* `& _% n& X0 m(允许将来自父系的可继承性权限传播给对象)9 p4 Z D( [, P) c9 Z
; x3 N6 f% E( j- Z) m& D3 ~
b.\program files\common files:& K6 i4 D U( k& @$ r A
7 T" M( p% a5 C% ^everyone:读取及运行
D3 }" D$ O2 M0 e. ?
% c. w$ S: \7 M列出文件目录0 d$ t* |; W$ X; n/ V
5 ^. I" {0 `1 N/ m( z5 U3 H$ S
读取
' H8 J' m: X- a" ]3 A" ? V. Q; Y9 H- X( \" |; \
(允许将来自父系的可继承性权限传播给对象)- l9 M1 D$ d5 m
/ ?6 C6 n2 X6 ?% {/ z, uc.\inetpub\wwwroot:
. ~) D* u/ J- h! o* J% \7 Q1 ]
iusr_machine:读取及运行7 [! \6 `8 D0 @7 K
4 m+ V; c* r" Z, m列出文件目录
+ p3 ~8 R! ?5 |: k1 j8 i5 x1 l. z$ m* r
读取
# g4 f$ i' }! W1 x" m' h( V4 ?1 K4 J% R
(允许将来自父系的可继承性权限传播给对象)
% j b- b" E1 a I. B$ W2 |! s2 @* i9 t
e.\winnt\system32:$ q6 U6 X- g* }" _& e$ `( ], Q9 N
: a i. h( _: T& [% z7 M选择除inetsrv和centsrv以外的所有目录,
2 V, @7 ?. V9 [0 S7 ]
# x7 u. g1 I* ]去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 E; C6 B4 {! @) ?$ S8 W
; f0 `$ @" a. b) s7 y
f.\winnt:' y; _! a( w) t* Y
9 O Q! V% o! q; x( F% a2 g6 Z
选择除了downloaded program files、help、iis temporary compressed files、. }3 ^+ o3 T2 x" T( k
) g& {. u; h# p' V! woffline web pages、system32、tasks、temp、web以外的所有目录) @' C3 J0 D0 v4 i6 S
) `7 J- D4 [$ k2 G% _去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
+ f: e% w: B# K; @7 h, l' _, B4 ?
, q, H; Q H; I7 n9 gg.\winnt:, m) e; P( ~6 i/ [
' j, q8 D( h5 ]( aeveryone:读取及运行
% j9 ?) B$ {' A& w3 f* |
6 M, p0 j* q* I列出文件目录
1 n& ~3 r# n7 f# l8 P3 x/ W0 x. t3 l1 |9 c. X
读取 v C8 _. S( l8 y& N
' E c' o) l; J9 g1 W3 }
(允许将来自父系的可继承性权限传播给对象)3 N0 |. K( y0 Y- _1 x& Q5 y" F* }: Z
, G# Y E" B t
h.\winnt\temp:(允许访问数据库并显示在asp页面上)6 k, X q1 e" ]3 f3 h
9 B& x4 O3 s9 s) Reveryone:修改5 K/ i0 n6 e) ~2 X
* f2 e" V5 u* M- c( d5 U$ W(允许将来自父系的可继承性权限传播给对象)
( p5 t1 [* z: A6 k$ w5 H. Z9 @4 I* C) x
10.如何隐藏iis版本?
5 H Q; `; @) n5 j5 P
! x7 O0 r! H2 {9 e' e一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
. \3 u. V2 @) f
0 m2 _, M( v$ o0 w1 p% Niis存放IIS BANNER的所对应的dll文件如下:7 {" W4 w+ i' y; I' `8 s
d: }+ r& S- p# WWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL! Y0 @0 ~8 r: z+ y3 V' C
9 X/ V& K R/ AFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL9 D. O" T1 |% P4 ~ u" e: K2 z: z
- L4 X/ q& G5 y8 I
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
, T6 l. \" q7 a- L
" W+ K( u7 x& f你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
' X- u: \; N4 G. d. S" a* h M( L& t! y/ K; F5 g {0 t7 P
具体过程如下:
9 v O/ E6 w7 ?$ d9 i) K& \# [8 V: q8 v7 D* O+ q. `
1.停掉iis iisreset /stop
% |: j/ @- x) M' {6 I. b
1 i! b5 S" j: K2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡