TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?0 W8 i; c, A' {% V
& J) Q* s6 P% V- ]4 u# G修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....: ?+ I+ b, Q& Q- ?. |7 C1 U2 |
7 ~1 O7 T L% F% A, G& B
2.如何防止asp木马?
1 F4 \- y1 ?1 i& F- Z- J" U$ v2 B% X/ j" q- a
基于FileSystemObject组件的asp木马
- I$ t0 K6 _: o
8 L1 ^5 Z+ s) l5 ~! T7 s( Y0 xcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用3 n0 i* P+ }. F
2 v8 H; c q6 _( ]$ X
regsvr32 scrrun.dll /u /s //删除
2 I- d3 }: M6 m& n: U
3 n+ k4 p5 ~& z; s基于shell.application组件的asp木马
( C2 X# s( K' o9 O, Q7 c k3 J2 V5 {# O; w ~% \, |, k
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用1 `% m3 k: m6 e7 d: W& N8 H
. s- Q/ U2 t' {7 B. ^
regsvr32 shell32.dll /u /s //删除
9 @* J& W- p: p6 W/ F9 D I8 C ~; U; S8 J5 r0 k
3.如何加密asp文件?8 r) l* L) E7 \
0 X' x! `: J8 j1 r* b8 z& O从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。% D5 Q! G. z! |, j$ @/ O
9 a- }2 L' a' j安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。( ]& d5 y* t7 X3 u* t. e
, l% P7 D' p! s: X
运行screnc - l vbscript source.asp destination.asp+ K' X" L2 Q+ x3 d
$ E* }& G5 k9 Q生成包含密文ASP脚本的新文件destination.asp
7 O; ]! ]5 R. k- I. H% A o' c7 r1 X8 S1 x1 b1 o9 R
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了6 @& @" y% g0 o. r/ ~6 t+ i6 U$ b
6 k$ G5 f+ g9 G- o
但无法加密中文。" F$ Q- B% ^ |' Z8 A
! a* c% g0 F6 C8 k& E2 E. S
4.如何从IISLockdown中提取urlscan?5 @! n1 B8 r# d) i
9 H9 m& S& k* Hiislockd.exe /q /c /t:c:\urlscan8 }8 L; S& Q/ W# K P
# Y2 s. U, K8 l0 {5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
% N' `2 m6 i: x( c E6 _/ M3 L( f- r- j
执行# L; `) L3 y- f |
( V4 A. h3 r- t3 @& N" Scscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True& N4 Z3 _: v8 k$ y& U
+ z5 ^ b8 N; V5 S
最后需要重新启动iis# Z0 J9 a6 |& G9 w2 n& L
2 f. z# w/ b8 Y0 A7 Y6.如何解决HTTP500内部错误?
& t7 z( E: ?* F4 o1 L. h$ \$ j# }6 E2 U
iis http500内部错误大部分原因
7 k7 K7 y7 x. o9 E4 p( k: N; K. `7 _: I) F. S0 n
主要是由于iwam账号的密码不同步造成的。
" g4 [5 t+ L; n* j1 ]9 C' ?% C6 r8 A! [. c2 o
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
2 K* c: u+ [) P& M7 {1 P( U9 ^5 F+ ^* \: n
执行. Q- V$ X: y4 Z+ h( k! d
. m6 L5 U& l! Xcscript c:\inetpub\adminscripts\synciwam.vbs -v
3 V. @) B$ b* T! I- T5 a7 [) _+ Z% g& E9 J1 G9 _7 o/ y6 ~
7.如何增强iis防御SYN Flood的能力?
* o. n2 t& r* Z' }$ A# F
3 |9 H6 }$ `+ v" `' Z; XWindows Registry Editor Version 5.00
# o, Y3 _7 u' ~. b' X' c) r$ G* A0 }
# C$ P3 k$ L7 s+ F6 f1 ?& s& C[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
! \! J7 S m2 Q; c
$ n4 |* e; E; ~& M2 N' w'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后) a2 v: m5 O7 W7 A+ b) ]# d! J
G8 ?: G$ [. J5 i: q'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
/ h; L! U! g1 K
4 I$ b! A6 x# x* b'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。" f. T3 c6 O, j" `) E
- G; {7 w5 g9 M- j* l
"SynAttackProtect"=dword:00000002
, A, ]1 f$ u- t5 R* t* `+ S( ~# l1 l# ~2 k t: t6 i w% \
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态( O% f, w" T* W
6 N9 g4 [" M: ~% I4 |' U) ]
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。- `7 b7 e% ~0 k
8 J' O) }( u( I( C+ ]
"TcpMaxHalfOpen"=dword:00000064
9 Q( H$ k- U8 V) t# R9 z* k6 T! q+ I; b1 X; t: Q
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。0 g6 n& E! Q. Z4 V J5 S
8 n# g7 |& C9 X) ]"TcpMaxHalfOpenRetried"=dword:00000050& ?0 i- a- ~1 h) b9 t
2 q D2 [1 v' Q5 o& U3 V: \! y'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
: ~5 e- u% C3 R! |# Y. g) L6 b; Z) l, N7 S
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。/ Z8 H' G8 p& V3 ^4 Q( X( Q/ D
$ l5 T6 ~: Y. T' w
'微软站点安全推荐为2。8 z3 M0 x5 b- g8 F6 {% y$ w
( j( d. G* r X! j' A# ~' e: s8 N
"TcpMaxConnectResponseRetransmissions"=dword:00000001
4 k* _8 k6 q8 j2 W |* \3 s7 r3 N' u- p3 C
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。: ?+ u- u( p/ d& x0 y6 i
2 `3 E! U& m2 g- V- G# W2 m& W# C
"TcpMaxDataRetransmissions"=dword:00000003
8 [; \+ C% u$ A, L ~4 R$ l4 s) t0 U2 G: |2 E3 G& `7 g
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
- c, T0 T' r N; R9 M$ ^% U. h5 m1 F5 y6 I. F3 I/ n
"TCPMaxPortsExhausted"=dword:00000005: R, T2 j2 t2 v& B7 V, ^" |
+ c8 j/ L, Z! I'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
# l$ b+ u$ o$ e# P9 v. U: i2 S# u7 ?
R8 j, ^6 E: ~, x$ K) r& p'源路由包,微软站点安全推荐为2。8 U3 R% `* K ~& E; R6 y4 P
7 D8 N8 y( U* R$ U& H
"DisableIPSourceRouting"=dword:0000002
# Y, T+ v& n O7 x+ y0 N( b+ F4 e/ H# h+ _" E: @6 m! {
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
6 Q( g; W' W H7 H! ~% b% q1 d0 m1 X- J: o7 v8 _! {" I
"TcpTimedWaitDelay"=dword:0000001e$ M" `3 G* N2 D
7 X _2 @5 x$ n+ n6 c; y: K. p
8.如何避免*mdb文件被下载?' x. A% \" X8 l
E/ W& @3 H' p- N
安装ms发布的urlscan工具,可以从根本上解决这个问题。
- E0 X* K6 y: I0 C9 A; l
2 G5 _- H' D/ Y1 ?4 O8 F同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。! b0 n" Y( @5 T9 O3 F3 d, P8 s0 f
1 `- _9 \! ^. n- |& M9.如何让iis的最小ntfs权限运行?! b5 S' j: _$ b- c, p. W, [5 A
" U% l& B1 j. h' d5 b
依次做下面的工作:
/ N6 B' |; b& Z4 A+ W9 ~& x# M% @* s4 Q1 e
a.选取整个硬盘:
; M& j( F% t3 |) ]
8 n/ s6 T# n) Q) } m! usystem:完全控制
! f% }, x& Q H6 j1 x
0 G, l- y5 P. m* i1 Y Kadministrator:完全控制
) d5 w: J" O7 x6 t: v: k! ^1 b
: `) t& q5 U6 b(允许将来自父系的可继承性权限传播给对象)" G8 ?0 j% i7 N0 H0 K
" b' ^7 }9 S% ~8 o2 d Z2 K+ |8 fb.\program files\common files:
$ y9 Y. w8 A9 c. `6 e1 _; @, B
5 `* t7 V9 t& y beveryone:读取及运行" e3 m: }9 I. n! B$ h, Z- X; ?7 C
% a- _/ D3 p; z' H" a列出文件目录
* {+ A8 ]' Z( I; y& q
/ e, Y0 d, W, ^9 ^5 L5 D* M1 f读取1 N2 R% |. R! E! ~# V% {! C7 ?
/ C# \1 H' k3 w8 _- m9 y5 A
(允许将来自父系的可继承性权限传播给对象)
: _, S1 ~7 k$ \4 }" b
( ]. F7 V4 c1 c/ T( \, Gc.\inetpub\wwwroot:4 b0 S9 O/ ^ d+ [
5 L2 w( F/ C) c2 d9 ~
iusr_machine:读取及运行" f% V- z9 e. u# q v, E
1 H* T7 U' Z! q' w列出文件目录- ?7 b7 }1 a+ b: K* v3 z; w' G
0 d' z+ n3 G4 R0 O# y3 E读取" _% c. l! N; ` X6 w
8 v8 v) @; d' H9 P: I2 k! E(允许将来自父系的可继承性权限传播给对象)' o% H( r& U6 C; z8 c8 _2 E
9 E+ _; ?4 \- Q, j: ^& r) Ee.\winnt\system32:
! L$ J' t# I* R9 r4 \) k0 P5 ~( a1 Y
, @" R2 H, o* P/ e+ Z. s选择除inetsrv和centsrv以外的所有目录,
, w8 a7 i5 r' I, i1 x% s; W$ R# A& w& B
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。- C* q" b4 u" | g) G
+ t) W3 f2 m( p$ Y
f.\winnt:
0 Q* B9 e8 H7 }$ x1 |3 u6 C5 K; S7 r+ b! S. o! f0 l0 T5 l
选择除了downloaded program files、help、iis temporary compressed files、
2 Y1 Z; | h2 u) k' n
6 x7 \$ D' R0 Doffline web pages、system32、tasks、temp、web以外的所有目录- F* o; ^' p# V" l. |/ ^
/ q% `$ e0 F* R7 X6 ?/ y2 w. X: T
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。; u3 P% \9 m* p1 Q7 N% U! u
( z% _9 I/ N$ ^' Hg.\winnt: o' h# w- _* ]4 ?7 v( r5 N* N5 y
5 _4 I& H0 n( X+ b/ k$ X0 F
everyone:读取及运行
# i% Q: M( K$ d
; [- ]& t) l3 y# G9 R# ]列出文件目录- D9 m% O! m; S
8 h+ Y* }; O( b/ I+ d读取
! T: j: U" c1 U- D2 p/ i9 V$ {: ^. O( C, B
(允许将来自父系的可继承性权限传播给对象)
) @# }' Y5 z) U( ~ n. m. d& @$ T) a T
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
" l: B1 w0 z2 n ~0 l
8 y$ t0 {' \( Z4 s/ M1 Q8 s0 n& E( j: Weveryone:修改
+ v# g8 w: {/ p4 v) K7 W$ o( D, y4 g# \, G# b. r) q
(允许将来自父系的可继承性权限传播给对象)
8 D% o" g. W: F! ^, {! l. ~. s
# p P& ] j# ^/ ~7 a% y10.如何隐藏iis版本?
; v+ v2 l% x2 ]7 F5 U3 `& O
+ a! t+ E9 I3 y6 X5 D一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息8 L; h+ s4 N( a3 w) E5 z
* Y& [ u3 P: |+ X. T' f8 Wiis存放IIS BANNER的所对应的dll文件如下:
: C! P& x( q/ f) ]. ]7 w! G1 F. Z
' F4 r: M3 u8 C! u) G3 O( HWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL" ~5 t5 b; r& d: }' A
2 I# v$ l2 E9 c+ ~6 V+ n
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL/ |! l3 I4 Q5 Q7 e G3 U x! a0 x
3 s; h) F$ B' q0 m( V. T9 |
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
" ]4 \1 Q5 N" { v1 T6 ]6 `4 i" Y5 q/ G1 k
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.03 J0 D. `4 |1 K7 W/ E1 E
( d0 `) t. J/ d& W/ n! M
具体过程如下:
% c T* q# F/ t- ^' b
2 s. O" F/ i. E7 b6 _3 m1.停掉iis iisreset /stop. M+ e0 n. U- ]$ O. i: I/ o; F: i
! k; t" @7 k+ z6 P8 P! ~
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡