TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?6 d# D7 C0 L" w2 U$ ~1 q
% O! v6 l9 d. D( {) i修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....% W+ s6 O* Y$ u$ T
( n7 ]3 U0 c4 J2.如何防止asp木马?4 D. m. G! E, c; C- O8 ~. }1 x0 q
/ L; E, B0 o3 i( P! z
基于FileSystemObject组件的asp木马) V- r! w" L9 R( M# b/ T
! {9 \ ^5 A( ]: t- X
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用) _5 F9 C; i* T) c1 g! E, L
* X1 V% c: i: F0 r; a" _& Yregsvr32 scrrun.dll /u /s //删除
5 Z, i8 ^$ v0 e. j' D8 d
+ o* [0 |9 S( S# @ q W基于shell.application组件的asp木马% Q# U0 J, n6 G
4 C# m/ h/ c6 N1 Z9 m8 Lcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用* B1 X2 K1 x" m) ~
, ]4 N. L5 v0 y3 q7 K8 j
regsvr32 shell32.dll /u /s //删除
/ m% M% U7 l' h3 [
8 J+ q4 t2 n- _, i. P3.如何加密asp文件?
5 m* B4 b8 T- a5 h/ ?1 P. ]
! w0 [0 D, g- x' ?* t从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。) g( D- C- w( Q
" W8 A; _# x0 _- `9 W( v1 y安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。/ `" F% {, T+ A+ } [
$ c5 }: B. n4 H5 J- _1 l* ^( u+ T运行screnc - l vbscript source.asp destination.asp% _; e. I4 ^% _& K+ q" Z) g1 G
1 X n( } H+ ?6 V; Q( G
生成包含密文ASP脚本的新文件destination.asp
6 P+ N% L; o7 u2 @) L
& O: }: a# x! @- J! d用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
D' x, _: U0 R4 \2 H ]7 g% n( Y+ g+ D) g4 o, f! m9 l' J
但无法加密中文。: j5 m4 L2 A3 i/ k! W
! t6 d- G) b: \, A. r+ a
4.如何从IISLockdown中提取urlscan?
4 q8 N; m/ U+ V# ?4 l$ I+ B& z0 K; }$ I9 @6 O
iislockd.exe /q /c /t:c:\urlscan
) E7 J; U; }3 d$ n2 T0 }# y
4 ?( c8 u8 C) a* Y+ d- i, c5.如何防止Content-Location标头暴露了web服务器的内部IP地址?5 R1 m- s Y$ Z' L- X
' l; ^+ q! e' l5 @7 f P! o0 f9 |9 y执行
* _7 J( ~& S* @
; h4 u+ z1 y0 Z& y& ^cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
1 M: p) F/ x8 ` t: c! k- z) O9 j& |. C; A* T
最后需要重新启动iis8 j, s) K3 m* Q3 u0 j
' f* E) _& k, [5 `% i# F6.如何解决HTTP500内部错误?
7 ?/ W$ C) A" X4 J8 o: t
( U% \$ O0 I0 v5 niis http500内部错误大部分原因0 V2 L% u0 S. R$ Q
7 n: `# F1 |4 k4 A主要是由于iwam账号的密码不同步造成的。2 H2 y, X1 {8 c( y' J3 {( W9 Z
( L- M" Q2 }& ^* M) @" L& p我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。. M) P7 X) I) a% U3 d+ D/ s- I) v
- D$ N$ B0 S- e" `7 a
执行
9 ^8 v% v; y+ e" A# C0 ?: j) Q2 S, o c0 f- `
cscript c:\inetpub\adminscripts\synciwam.vbs -v# x# V* ^: M3 S3 c1 U3 B; c
; Z9 Z; m [/ ]( n( Q( l E
7.如何增强iis防御SYN Flood的能力?) E% d0 n1 \. f7 X; u: ]) o
/ B5 ^# G6 t6 C5 d3 l8 q4 bWindows Registry Editor Version 5.00
( K9 M2 i" j5 T: o9 N2 ?
# g8 b. I7 p2 m3 P[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
4 ]; K$ }; G6 B9 V& T# `( [3 p" W# W( K# Q# @# W
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后1 o) w% i& p b4 p( F- x; p
/ Y! l7 I- F( [* n+ [$ J'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值- |! @; [/ N% z: P
1 J3 {! J. O2 K% p8 S'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。( C1 `2 N! Q4 f1 G( r8 S& [( l
' w) ~3 k2 u# Y* C
"SynAttackProtect"=dword:00000002
# ]5 Z6 S+ Z* T, _: M2 S
% O7 r" B( j; Q0 L# @) P'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
V4 S- V+ ]" T9 j
' y7 i3 |$ o* Q'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
; O' y6 \+ G' B2 c4 D. i. _
; x2 u5 B# U# s$ r"TcpMaxHalfOpen"=dword:00000064
& j" R- S- I) {( t2 a9 V+ C* R
9 c% a4 q# n' P7 V9 g+ D* H% `9 ^'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
8 d" x1 p" T5 T+ }% @% f/ z4 W" }# U
"TcpMaxHalfOpenRetried"=dword:00000050$ H; k" t0 |, h# t
6 n+ j' S2 ~! O% G" Z7 E$ I'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。1 D0 Q4 m6 s2 a% \
1 v7 ? C: q& o& I2 @4 Z'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
7 |& a/ x, w* W; P @! G n7 d% r7 z( i# E c2 ]1 S/ _+ V( |9 E0 c
'微软站点安全推荐为2。/ o/ V& c4 @. H; }/ x
8 |& ~& [* A! J6 K8 C5 W
"TcpMaxConnectResponseRetransmissions"=dword:00000001+ B0 y$ Y1 [. {
9 ^/ h2 g- c9 U) ^
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
! t! W6 l# T* N0 F' t' v4 x3 G- _" \
"TcpMaxDataRetransmissions"=dword:00000003
8 y- i. S# ]* a* U
, O* ~/ {+ i) T'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。" ~4 V, B- H8 X# I7 F& \- M5 X
5 e+ C0 u" V2 _# q2 g2 p"TCPMaxPortsExhausted"=dword:00000005
; F' P! N& M4 L5 x( r6 d/ M
* U& ~* G3 c, |( y2 s G1 z'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
* w' p, d2 a* W6 z7 J
/ K9 v0 `/ g# M8 H3 |, x'源路由包,微软站点安全推荐为2。3 o8 A/ X" x- s7 e z# w7 W
+ A A8 C$ }2 D3 V"DisableIPSourceRouting"=dword:0000002' ]1 o# r' y) A" u
% _/ q& N( S( ~6 |0 C" [6 i
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。4 A* u! b- Y/ s) c2 C" m
" V7 T% M E* _& i5 O2 {
"TcpTimedWaitDelay"=dword:0000001e X1 w( j0 K# ]% H8 T0 A/ J
# y: P1 |8 H0 w ? q; Y8.如何避免*mdb文件被下载?9 k$ m* ~2 m6 [# k4 t3 ]! s p9 _; R
% ]5 Y* \$ J! s2 P安装ms发布的urlscan工具,可以从根本上解决这个问题。
/ i/ ], Z" _" X8 o
* c V" F, a& f同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。4 y: D2 U A7 | P1 g
+ ^% |/ z) a# t3 j/ \# S5 H0 K; d! V: T
9.如何让iis的最小ntfs权限运行?
; ~# H3 g% D( N' X2 H, Q
/ _9 L- D, ]/ T# u5 a依次做下面的工作:+ N4 t3 |4 r& P/ W: f; e; v5 J
- R [/ h' [0 \2 P# k
a.选取整个硬盘:
, `% f6 X$ r6 g- u9 ]' e8 c" u9 _" T6 m- J* s
system:完全控制0 W6 A& k1 X/ G2 {
, u9 i2 S, ?" l- z; O/ y4 @administrator:完全控制! R b1 A7 v0 n: v v
1 X# V; v, j! d+ R8 L" g(允许将来自父系的可继承性权限传播给对象)) W, u6 n* d+ s% w9 L- y
) i' w, U& x5 [0 x/ z" pb.\program files\common files:
3 E `0 W# |: a- }; o& @! d; s7 z" D2 q% _" G% {- Q
everyone:读取及运行
9 z+ e0 X9 F8 N! s$ D. L3 Z; Z0 {4 S# T/ n4 y: c/ a) F
列出文件目录
* l! ?; I" |# I& [+ G+ b+ c, E) A! P b+ g- _
读取3 j. Q& q: E: m
* |! G3 {+ U$ |) o& f" ^& M(允许将来自父系的可继承性权限传播给对象)9 d1 [$ K* Z4 s$ G$ e* q. U
& h# u" t7 \# a1 y, r) c0 j( Nc.\inetpub\wwwroot:6 `3 r4 u9 C( q4 `
1 O( n- w3 t1 u- n9 M' tiusr_machine:读取及运行6 @8 J. S) T U% l2 R6 h- x
) p0 w& j0 ?8 n. P
列出文件目录1 t" h$ h* Z! h9 H
7 d+ ]4 T4 D7 y( H读取
- p1 s8 ~2 U' }/ j% P2 }
7 [! } B( d/ w6 l4 ^(允许将来自父系的可继承性权限传播给对象)" o3 h, F- h2 B
3 ]- V7 d2 g) B. P! h* ]) V9 re.\winnt\system32:2 e$ ^- I; Q6 y5 C; |3 M6 `7 O' e, S
8 L' w& w) E7 v/ S; ~# X* x1 Y/ q选择除inetsrv和centsrv以外的所有目录,0 r- E: F6 r% E, I7 j& _
1 z5 Y4 h& I/ Q; f0 N
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
8 E" V D% M# N8 g" b$ L0 I) y
* x: K- V" R4 g+ i7 Gf.\winnt:
4 H7 n, m2 g5 `$ U" d# P: X
, v5 p- x9 e, j8 }' ?. a$ a选择除了downloaded program files、help、iis temporary compressed files、( u: g* O/ w+ \ _
- ^9 [( X; |3 T2 D7 J$ A* c
offline web pages、system32、tasks、temp、web以外的所有目录
i4 Z! Y: E& r# \4 j+ N8 Z3 n; V# C0 K! S
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% t7 L* S0 S+ Z. {) l$ O% }; O2 M: R: m7 f
g.\winnt:) w* V, H! I% C0 {: U4 ^9 [
& e- O0 g/ Y, oeveryone:读取及运行5 ^: Y5 }" L i0 ^4 p; e2 V
, A- A- _5 C/ m' k列出文件目录
$ q8 Q p6 y' t( k
8 u! y5 m! X2 B* a* E" P; i读取4 l1 L- r% M1 \/ \3 D
/ P1 a+ m5 Q# j5 c- ~$ z
(允许将来自父系的可继承性权限传播给对象)
# _1 ^) r- }$ h6 c, A5 q
2 o' V9 D( s+ r( i& Kh.\winnt\temp:(允许访问数据库并显示在asp页面上)
, K8 i5 o" _9 c4 ]4 \2 Z0 m
6 T3 ]! f2 U% v: a b7 E7 feveryone:修改1 C8 H8 j8 U% n* u
& J8 b3 E9 j/ B* H* t( ](允许将来自父系的可继承性权限传播给对象)
% g8 Y. Q+ m& B3 ^$ I
) _) B, J1 g \1 [+ R6 k$ X9 W10.如何隐藏iis版本?4 P( S, o# J- ^2 s0 f
8 z% t3 ~* y! Z
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 o0 [$ y' b4 [5 w1 J
0 K1 @$ `7 {7 [. `8 qiis存放IIS BANNER的所对应的dll文件如下:
3 _$ U9 s+ h/ N( X- S. X
6 H+ E7 ?9 \+ R8 W4 }9 ^WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
3 a) F, l; ]$ G
- z& _+ {) e: ZFTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL4 i) l' N! y2 l. f- N6 m$ y7 S
" S9 ?0 \/ S% y1 g
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL7 E6 H+ S: Y0 c" {$ ~' G
6 Y7 V* b' ~ a4 a6 s: J& S6 d你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
0 O& G S9 s. F5 |8 Q( o
3 L {: s* C) T) G8 B具体过程如下:, m o. z) N" s2 J; ]- ]/ L0 v
5 |$ H h7 L4 R& v/ w# q# d7 z/ q1.停掉iis iisreset /stop
+ M& l% ~+ Z1 m( F: t: M3 I- ~# y$ D D9 f/ d/ w/ ^' C" S+ F$ r
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|飞翔无限『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡