TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?; ]: M- b+ x+ {, Y# C% f. ~
4 s' u8 F) I0 R# X/ k: d# G修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... C* o7 ?4 o3 O% ?" Z H
h8 m* f+ i, Z1 S
2.如何防止asp木马?
0 j7 u( f4 L4 C R9 j; T# u+ _
7 u7 ?- m' V9 k. s4 E基于FileSystemObject组件的asp木马4 y3 z6 @/ ?: Q- J* {3 R6 D( Q$ W
. N! o8 E, `; @/ y4 N; Q1 D
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
4 Y2 r* D2 X2 p0 j9 @: U
, H* [; }7 q! ~3 nregsvr32 scrrun.dll /u /s //删除
- d' @5 c* G+ X: m# ?4 U
4 I) E4 [6 x8 o$ p基于shell.application组件的asp木马
. o/ E( J1 A2 `% L# P0 f ], x O' `
, ?% ]" j# X3 Y/ Pcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用% V* {6 z. x- C0 _
3 G, R1 x" U! w# gregsvr32 shell32.dll /u /s //删除5 ?0 G% E! Q+ Y, o) D; H5 T$ n
1 S5 @5 s. Z$ D3.如何加密asp文件?
' Y) g/ W( d. D7 J0 {& @9 _8 ^1 k, M& l! K% l" ^- s! F
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
+ E, L# z( @% M% g7 y* `' ~- b/ O0 m$ D% t; n; }) d5 O
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。. l9 ]) U) I/ f4 l
2 G2 g/ C4 F+ P+ h& [运行screnc - l vbscript source.asp destination.asp5 k; ~7 Y0 }; t I! L
4 k4 H. E# Y' s( W
生成包含密文ASP脚本的新文件destination.asp" K( t0 Z& {7 E9 i6 \+ {% Z
( h& n- I! W+ y2 t; e& ~: N; M用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了, W! `) P4 D* ^2 p, N" Q6 N* G
# Z4 O8 p5 v' q; s但无法加密中文。
, t6 d. t: F4 {0 M* N; p9 {1 p, I5 g) H$ f- C8 F, o
4.如何从IISLockdown中提取urlscan?6 u. Z, S- l( X! c/ r: m% p/ f" i; a
& V* J1 _& r, |% K3 L% D
iislockd.exe /q /c /t:c:\urlscan
: P6 K/ b/ a( G- H* u3 s& s# Y9 |$ ]. b- i1 s
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
: R4 a& G# v) i2 p
( a% I; v$ F- X' R' h' Y0 u* m8 N执行
( L5 x; {8 f0 ]# g3 `
! B& y( z+ x" @ fcscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True. ?$ f& S5 T4 A4 |
5 V( C( z( v& S; n$ j, D1 P最后需要重新启动iis
* E! {0 j4 Y/ b) Q# O) B! z1 D0 @6 M
6.如何解决HTTP500内部错误?
8 l7 [0 {; [9 d) w% a3 P+ u2 E; q6 j$ o1 w' I3 O
iis http500内部错误大部分原因
' b0 _" g' I9 j6 {, E- H
3 w( J6 a! z, |5 {5 H* Q主要是由于iwam账号的密码不同步造成的。
% p+ v% E$ v4 {0 [* j5 X2 _+ T4 E8 [4 G7 u3 A I+ g
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。# P2 }! G) j' w2 w, C4 \* ?
" Y8 i0 t7 a; H8 g( X执行$ j$ A3 ]* p/ Y
( Z/ D: `. C1 A! n1 s8 h0 m+ u Tcscript c:\inetpub\adminscripts\synciwam.vbs -v
8 ?9 D0 E! @+ R% |1 i
3 R! B7 a/ i$ T" _- W: k7.如何增强iis防御SYN Flood的能力?1 @ m5 V' T: M# Y+ n( i
7 Q6 w+ D. d1 v$ I9 UWindows Registry Editor Version 5.005 K; A; L! d" |/ m7 f
r, u0 o4 L/ G' b$ d. d: J
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]0 p; l' l1 S- Z6 l) ^# W
# k& k5 u$ c5 _; Z' M$ r'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
2 \0 X; U1 ~0 _& h! A9 ?& m ^/ ~7 }+ J! W- x
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
& S. X! k: l2 F# ~3 s4 e. q+ k1 V2 W3 t. _$ A6 p
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。3 h3 J) K7 K$ h: k$ X
( D4 T+ R# Z( J2 \: ]2 T
"SynAttackProtect"=dword:00000002
2 n2 b$ E* r1 _5 U5 Y! j. F
3 m( N4 l: l4 E6 H'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
3 w; x3 r" p# Q. J8 Y5 Y) a) a* a$ q( K6 g9 e! o$ b4 F
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
( D# n9 h" @- b3 f
7 I H" y1 C4 U! {9 {$ T6 U"TcpMaxHalfOpen"=dword:00000064
& Q, {$ u, D3 F0 h, @0 H) j0 \3 q" V2 F0 r b# \; L- h* W' f( ^% f
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
0 B8 o0 {5 e Z* r4 |9 S0 W0 k1 U) G
$ y9 m2 X6 y& ]8 d! P9 E* b. {9 r"TcpMaxHalfOpenRetried"=dword:00000050$ u7 W7 T- Y: q% t( k
# L" F" m) r3 M' R'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。# i& x6 C N' c* z$ r# J
G8 G& [6 z7 y5 G8 [6 X'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
( y1 ^% Z( M% K0 H# T$ s7 O
( y% m3 a3 }6 A! L/ l2 @'微软站点安全推荐为2。
2 W$ h! u. w; p. t) m8 n$ x
& z0 Z5 z6 T3 I( ]"TcpMaxConnectResponseRetransmissions"=dword:00000001
! |& g: Z+ U" _$ v. z# o' ~4 w
3 [7 `( s2 B* O0 E7 y9 v: \, }'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。: t+ p$ M5 b0 Y- N/ b! |7 J
7 b( ?& a0 Q+ ~+ C"TcpMaxDataRetransmissions"=dword:00000003
& h7 e( c% n3 N
9 g: E; X% K: Z2 ^6 J2 k'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
* u' h0 l2 e/ k7 E, e% |& l
; c4 H) \, v2 V3 ], P, M"TCPMaxPortsExhausted"=dword:00000005, p4 N/ W( S5 M, J1 e) b
3 L, ^& j' ~5 |+ \0 o0 ?
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
2 ?' B/ g$ I0 ]5 f+ K4 w" t8 r$ ]& K% {& e/ E- Y, Z
'源路由包,微软站点安全推荐为2。
1 x1 p/ N- L1 I3 M( v* ^; w
0 v1 d7 _) i7 R4 t7 r, u' ]' w"DisableIPSourceRouting"=dword:00000027 R% o' k2 ~% a3 F
5 z f7 i" F+ \
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。 l: `# n+ m4 U. o. `
1 Z# o1 b. t* ^) `1 B0 _) q
"TcpTimedWaitDelay"=dword:0000001e
) n2 S7 n( R$ w% l8 b$ B
. a7 _4 g& z* U, V2 m( D# K8.如何避免*mdb文件被下载?
' ]. Y! c/ y: C( V3 K& C) x* M5 w. Q4 m8 z) p
安装ms发布的urlscan工具,可以从根本上解决这个问题。
. X2 @6 p" E2 I& w! R; h8 s7 {# B) B: h9 i; X8 c7 f5 i- S3 v
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。% t- r# P6 `7 `$ y( W( n
, p! e# _- F' J3 u1 _( U, a9 S$ z
9.如何让iis的最小ntfs权限运行?, k0 [ n1 N% |6 Y' A5 k
2 @1 ?$ {2 G) } b, ~依次做下面的工作:
! s* f! V+ E9 f; C0 A
$ L9 `" p C( v; Wa.选取整个硬盘:
- s( Q: M8 ^3 ~/ ~7 P! m8 a. i; f6 Y1 o R- l0 N
system:完全控制
1 Y3 p. u9 d: y
) M' \( U, R+ s3 Z, R7 R9 l% Eadministrator:完全控制
/ ^- O) Y: m' y G* \
1 `* y9 S* I0 T: T( ]& |3 d7 b(允许将来自父系的可继承性权限传播给对象)
2 m3 |1 E# r8 `, G5 z% W. L( \4 |/ g8 Z$ s7 x' T
b.\program files\common files:
$ O ~$ o/ W) [9 s' y
$ ^/ t( ~; w( R# ]everyone:读取及运行+ `$ g" r; Q$ J
$ I3 h7 d2 l! ~" l7 F; F7 L' R列出文件目录3 {0 `) h6 Q9 v' n+ c' @$ _
3 p0 _) Q9 ~ _: _: v0 p9 Y9 |# m读取/ n/ h+ f3 d# N- x+ J7 a4 d
- N0 I4 j. h, j }( s(允许将来自父系的可继承性权限传播给对象)
4 ?# n) Q) @+ Z: L
) n/ K: J- i0 Y9 Ic.\inetpub\wwwroot:% w$ B. y) V3 z% B
. D0 O6 N- t8 y! n9 ^- Viusr_machine:读取及运行5 G) c& S0 c5 n# Y5 b' K
# r3 A9 q& b- M8 O' R列出文件目录
" Q# K" X, [) @7 m* |7 x! ^
& @% D6 F6 D+ q6 f读取
* | |6 A" ]0 S
" P" p& o% `. S6 _% W(允许将来自父系的可继承性权限传播给对象)
4 Q# D! ]/ }/ }* A& l% K) x- n6 p' r+ D5 v* N7 F, T
e.\winnt\system32:! X) N7 q! |9 S7 A
+ \$ }) N' C I1 L8 E; j
选择除inetsrv和centsrv以外的所有目录,/ D1 Y! u! z- }* b
l9 }, r* h& H3 Y0 ?* p
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- P4 P- b. C' K- {9 C/ X( _
0 Y- Z) G+ Y& U8 n& I- l( y
f.\winnt:3 s0 S L9 k- e
! x9 X% M9 a7 W2 f) S6 m
选择除了downloaded program files、help、iis temporary compressed files、( O' B4 m& M7 m; [
$ G! M" ^( c/ ~, |" l8 Q7 M8 Z% z
offline web pages、system32、tasks、temp、web以外的所有目录
. u2 ?: X! N5 C- k4 T! P* f2 n
9 S5 g% ]2 \! W9 I/ }去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 Q5 X3 G. {9 @3 Z5 u2 K
# P3 O* ], t; u( X9 E3 U$ ]g.\winnt:
# d1 Y. ~; I" N9 |" t& a$ W
/ O) _' U" M( |" n( B8 v6 zeveryone:读取及运行
4 U T: U9 Z4 j/ [0 f/ d# ^* t* Z; U! b
列出文件目录; t* m1 M# r8 }/ B+ {6 `
$ @ T) e# S7 j读取
. u/ a6 X* U; n5 F* e! t# q, G
/ ]6 |' U# ~0 v2 ~. r(允许将来自父系的可继承性权限传播给对象): [; S% s8 r2 V1 p% ]
) \6 a/ J" B7 z0 z
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
+ b! E6 \& m C
3 d' x% m/ u ^5 A ^. yeveryone:修改! m' ]7 F8 j# t+ } Q( N8 ~
7 x9 A: T N, K: c
(允许将来自父系的可继承性权限传播给对象)! U/ b# S1 B' E+ ^* ?
9 [/ V# |! j% B+ r Z5 \
10.如何隐藏iis版本?
: L! [# s0 e3 X: c9 o8 e
, t9 v! H. q7 s" s* N% U& L% a3 m5 _一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息# `$ d* g4 j/ A- s; q
) V9 h( G' c' diis存放IIS BANNER的所对应的dll文件如下:( H7 h J( T. P6 l+ n4 a
6 a; q# `. e6 dWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
) M+ B) K* v1 f( E2 a& M, a
8 g" t) ~- `: UFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
- h4 A5 K9 v; V X* ~4 H7 N* }+ S# A) }; {6 Y
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
7 d) D t4 M8 _& I4 l
2 Z G7 c! o4 m8 W6 ]0 q6 I' n! G3 e9 ]你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
0 T+ u$ ]) J' v3 d! ]
0 I0 k' y6 \7 u1 a. q0 B2 i具体过程如下:
$ n; Z9 h A$ D- \5 H* \7 \) S; r e, @
1.停掉iis iisreset /stop4 V! @! F7 B& |; G4 ]1 i9 V
7 C7 e' s# U: W! ?
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡