TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?, p8 d# K3 E6 \8 A# k( ]( h4 E
% q) X8 ~/ p1 h1 O6 V修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
2 p9 ]3 c# z) O* l0 ~
' U$ s+ j, k6 `: j! \# K5 x9 N$ p2.如何防止asp木马?7 |# Z0 ^8 |; G8 M) ?9 P8 t
' r% k; G( Z& S% ^0 S, s
基于FileSystemObject组件的asp木马" G0 q) `% r1 V: s4 _3 s; f+ L
. h9 i( V, B7 g9 A+ scacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用. q4 I6 { B* @& X& o# a
$ |4 M! ~! X. H8 q( F9 I7 X8 e
regsvr32 scrrun.dll /u /s //删除
1 V( X5 Y$ K/ K3 O
, u2 V# X6 H6 z基于shell.application组件的asp木马6 p0 V+ ?; P! a [- s4 {. [* h6 N
# e1 c" v# O6 K \3 G, [$ Q4 ycacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用' A0 F# R6 I. ^/ ^+ I. H x5 y
& O. \0 Z9 Q* Nregsvr32 shell32.dll /u /s //删除# e# E% ^; j, m7 x6 C$ E
* S+ T( C# Z$ R1 E
3.如何加密asp文件?
4 R+ l/ E, b* ?" ]/ S: W1 { i) }. t
, h! `! l% Y( Z- G从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。% {# a, O; r2 D) u" u" x D2 C
. ]( o8 C. G) ~4 k安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
2 f0 b" s6 @5 h
: Z& g7 L2 D7 w! [9 d6 Z运行screnc - l vbscript source.asp destination.asp
; T" [% [2 M5 x! h
; I5 D/ w6 q& f4 [2 ~) z' y& Q0 Y生成包含密文ASP脚本的新文件destination.asp+ z, o& q# L9 ~ D7 a: ~' ?
4 J- y9 T9 Z7 h3 n! X7 ~! n( N用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
4 D' T( X1 x! ]$ g
* B t" R3 t: c但无法加密中文。# n+ K& S7 _3 ]3 P
2 e2 t' @8 v6 p: e* i
4.如何从IISLockdown中提取urlscan?
6 ?' X5 Y. K- u3 O4 }6 a6 A" O0 y
iislockd.exe /q /c /t:c:\urlscan
8 |& D* F3 B# K) ~4 x9 Y2 q, b" W2 l% A- ]( k) P; L# D
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?* x2 G8 |2 |) m; p |
4 @; a) k9 |# F V
执行
0 @9 A3 Y: }. |, R* f, m% x
. ~% ?0 Y$ t+ n# X4 Pcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
' G( q' `: O. ?- `5 U4 O* x
: N( w3 d# q2 X& {最后需要重新启动iis
1 Z3 g* ~, \: U' p) i
, k. q& a2 }8 T0 O" \4 M0 v6.如何解决HTTP500内部错误?2 V; A: Q# s8 m7 B& a/ E- l7 q# ]
8 w1 n! T) d7 y. e6 c
iis http500内部错误大部分原因8 P- ~: ~9 e6 _9 ?& Z
" Z5 [- B# h: a N+ W% m
主要是由于iwam账号的密码不同步造成的。
# D% |: U- g9 Z. S
: i9 z8 Y* f: d& n3 O9 {( H我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
% n o9 {& ?* g/ {9 Y3 C4 L" M7 D* T8 [- L3 R- ?5 t; |
执行
) a3 @# G1 S( j% w" B( i
% Q0 v: J* T6 ]( E' g7 I# S$ b5 P! x8 Ccscript c:\inetpub\adminscripts\synciwam.vbs -v/ w& v% H& {+ L* ?/ s9 c8 E: k
F0 N1 J4 A' z8 }, S/ W* s- X3 U7.如何增强iis防御SYN Flood的能力?
$ B% a! q- `- k( m1 b) ?, n2 s& k- B! h2 T" |( }- n9 P$ {
Windows Registry Editor Version 5.00
0 \6 w* I& \: v! j
* j4 y3 @5 u' R! T R3 q; c[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
6 S4 W/ f& T$ Z( s) t, U7 B6 w1 K& s
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后+ X. E+ D8 f1 v2 e0 |5 D( s6 i
i0 D" }. v8 w7 |5 Q'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值( ?& v, R! ?5 H
9 m0 ]! t2 \ I6 y2 o1 a
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。- M/ y* G; ~' H6 [" U
8 R( k+ z* [- X$ H! c"SynAttackProtect"=dword:00000002
) [4 h, v& [* f; ` A6 x
) a# u& k; F) D: u# H# ~* f'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态: [# }1 [" o: k
* Q* I" O6 `6 W/ v" \, c! P3 ~. P'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。7 n/ {7 ?/ y0 u: s) r
R. K! }: p, H, S"TcpMaxHalfOpen"=dword:00000064
5 w- {! v: K( M7 p1 Q6 ~) \# q7 R5 [
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。: d' ^' [1 Y! P, t- K
& k; J9 c! v# t6 L5 o
"TcpMaxHalfOpenRetried"=dword:00000050
; |# }, ]* O) C
7 l% Z# @; J$ o* d'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。7 M9 _5 r3 A" E% X
4 g) T6 I1 i* A$ q
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
: v& h9 ^* O& Y1 N$ v5 _& k: S
* z7 j# t: W) h( F5 g L'微软站点安全推荐为2。
$ G( E6 p% p# J4 c8 J, _: _' W- B1 E9 o- j% h, G
"TcpMaxConnectResponseRetransmissions"=dword:00000001
. J, E4 j" _1 i* G) n7 P+ A
% V/ j& L$ a: m5 j* D7 f'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。$ [4 g( D* Q: N* k* F) ?4 A; R
- T9 e0 B# r1 }3 |* J2 r"TcpMaxDataRetransmissions"=dword:00000003) Q; N+ H3 B( i2 `( h3 A6 ~7 I
9 ^+ J- |) ~7 K- d8 y
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。$ o7 n8 a6 U- C
4 V. W! l. X. @ j* ]
"TCPMaxPortsExhausted"=dword:000000051 e y' G8 e6 }% N
# C' ]1 V, i: u3 k& |: i2 V& N- ?- L
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的0 Y& w& a( n; t
2 m( O9 e0 s6 I9 X8 H9 z'源路由包,微软站点安全推荐为2。
. r, `& z& J) w% Y
0 M+ W6 s' c' y$ L* t# d9 K7 A% b% o"DisableIPSourceRouting"=dword:0000002
+ X2 R! ?. ^; Y$ O# x) Z3 S
5 Z% @2 n3 k* a* h) }'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
1 G A, e8 P/ l( u
* ]0 K; \! H& M# e"TcpTimedWaitDelay"=dword:0000001e* [- }& m0 K9 b8 \' m" \$ p( a
8 H( H" J- L0 I0 p% ^
8.如何避免*mdb文件被下载?
- s3 Y8 o+ o9 c. w$ d2 }( u: @- F/ d8 r) U9 R# N; i3 Y
安装ms发布的urlscan工具,可以从根本上解决这个问题。
7 Z6 |8 ^$ ^" | {0 g; n" V* o, f7 K3 Z' u1 O0 X& _* ]! A
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
+ o1 n* n7 t% O+ w9 @8 K* D- e; e% T! y, z
9.如何让iis的最小ntfs权限运行?
/ H4 x* o. C% ]# h2 j$ z; s* k
$ Y' Q4 `2 x% o依次做下面的工作:
2 ?7 I7 }4 y; t2 t: M1 O0 ?0 I5 Y5 z
a.选取整个硬盘:
9 c3 ?7 ~3 @4 F' f4 K5 P6 L5 R7 a5 I% v1 f! B2 e, i a
system:完全控制% J+ T1 P7 T/ u9 f2 [
, t9 o* z- H+ e& u# W* Z7 H
administrator:完全控制! |- f: w1 ^; P) N% k
0 s' V, q7 K# V# o2 D
(允许将来自父系的可继承性权限传播给对象)
/ b/ u! K9 R' V3 l! D3 o- ?1 t
8 s' W4 b& X/ R2 U( \7 C/ Ob.\program files\common files:
: y# g9 ]1 E! m [1 ?7 V: J4 Q7 Y! D/ H |! N4 |5 M
everyone:读取及运行1 M5 K. G0 Z& ~( ~8 f" S
3 v( ^9 ~) _7 w
列出文件目录
f5 l& r5 I3 b/ Z) [; m% u2 x. I. W, t T6 z0 h) b
读取
7 u& ~ d. m V; p# ?
+ a. Y, t7 h% X8 R$ Q(允许将来自父系的可继承性权限传播给对象)# A G8 I: w- J3 v
: W8 @# z/ ?% Y6 o/ G- j+ g6 `9 ]. T
c.\inetpub\wwwroot:) r" x$ Q- g1 i
6 j& v* [8 s! U+ O& E1 P S
iusr_machine:读取及运行
% m, ?3 \; [+ z) V P4 r- [, R2 t; M' g7 N. I5 j
列出文件目录4 ^ T) @! N2 Z( G9 j0 @
O. t6 ~/ L4 J1 i
读取- |2 Q6 V1 z% s
/ G2 E3 A. y; T- B$ W
(允许将来自父系的可继承性权限传播给对象)! _* J: r8 P( s# `
. M9 E) J3 P" h7 s
e.\winnt\system32: |/ _ l$ [! @, M1 m* p
% c: V, G7 `" p7 T选择除inetsrv和centsrv以外的所有目录,
" `6 s$ q$ I) w+ E* L( f6 P+ T" s9 l% d/ y
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。" |! h5 d4 B9 W- j3 X3 I$ Q& Y
* a9 r; Q, K- {. _f.\winnt:) t. B$ l; H! `0 i6 J; u) d8 \1 j: S
, D! B* Y5 b5 O; M( M ~0 n
选择除了downloaded program files、help、iis temporary compressed files、
( L, C0 s, P& k: W6 r( g5 F
4 m& e! e" l* loffline web pages、system32、tasks、temp、web以外的所有目录3 u! [% }" [" D$ k: X4 R6 _, k; O
# {' V" b: d' x& i& L% T去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' v6 K, D/ c. u x$ b1 F9 Q# g, m3 I6 W0 I z G, [: R4 M3 S
g.\winnt:$ W. C: G/ y7 q% u
! W9 ?$ i( d6 d& z3 v: D/ oeveryone:读取及运行$ r5 @8 q6 Q8 h9 G3 g' R
. n h2 e7 u1 l/ _
列出文件目录
: Y( E, ?" i1 `* b( U
+ I4 S' a0 B! n" _0 K读取
9 m$ k% _0 w( o4 K- W
9 a% D* p z& {/ N6 \(允许将来自父系的可继承性权限传播给对象)" n( l. ^" z3 v+ f% t) U, Q
6 q) U6 ], d4 T3 c' C' uh.\winnt\temp:(允许访问数据库并显示在asp页面上)4 \2 S# g9 O d5 b5 K, ?
4 o0 \8 l, G' q1 n4 @everyone:修改
5 M& N I) _, b. [# h# ~1 D( x6 N5 T! m% O/ f5 p* ^! T# g% X
(允许将来自父系的可继承性权限传播给对象)
; q0 F& V! a3 N1 i5 _6 j$ Z7 h3 k6 Z6 p* Q+ D* e: m) V
10.如何隐藏iis版本?$ x3 L0 S$ u: z7 S
/ {6 q- t% r2 u' R0 s! d7 e& O) o一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
/ v6 h1 ~' G- b! L2 {8 B7 d3 G) B8 o1 f- F# |" Z
iis存放IIS BANNER的所对应的dll文件如下:
' n/ m* ?8 \! O3 i! h
# e+ v4 u9 H: Z2 B4 S8 [$ xWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
+ g0 v/ u/ W1 b
U' k# G0 B. Q0 k, LFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL9 b4 |- o' a! V" a
1 g4 `% V9 S& K3 `
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
: j5 U7 y6 T0 V3 `9 {) x. F( B, J; q- a3 C; ?/ V `7 }
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0! a9 i6 y2 J' ~
) K: J- ]8 i& i: l8 k& h/ a
具体过程如下:! f! S* N; r# E% Z
% c( Q- u3 S. q. D! r8 J4 [; ?1 x
1.停掉iis iisreset /stop
* s, A6 f3 C( U" B3 x" p
+ r/ t( n1 Z( l) I2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡