TA的每日心情 | 衰 2019-8-18 09:37 |
---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?8 [7 M$ ?/ g) }! k- h0 m5 A
) G) M# k P% `6 Y& r" f: P3 t, h
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
; H1 i# c8 o' s0 K o7 @0 p2 T; x! N- l& N: M
2.如何防止asp木马?' K$ ]8 z/ S7 |: ]" J) k( C- J5 _
7 q& c- i& t" ^2 M0 x P( [
基于FileSystemObject组件的asp木马" F3 H% c4 t8 [) s- f4 [5 M
% U: s% |: }- x) t
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
4 d. b8 Z: l' @8 u& N( L( y3 b+ n. H1 M$ W9 |/ I) x9 l' T' i
regsvr32 scrrun.dll /u /s //删除
+ W, P/ i- q6 p Q9 d# X
& Z5 E- r6 _* J6 L7 N9 A; D基于shell.application组件的asp木马
( n9 }: p1 Z) w4 m" b6 D' t4 y, N' B
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
, o$ Z$ r& Y/ A: j9 w7 J
' y! z" L: u% A- L8 fregsvr32 shell32.dll /u /s //删除
0 _2 f+ U0 J$ s5 f& |# l- ~/ U0 Y6 D2 i+ Q6 f4 Q6 Z9 c+ c l9 u% B
3.如何加密asp文件?+ L; ^$ i' W% O# }
R; x. g+ \, V S+ V( q从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
, Q, g1 y& y! J$ ]0 H. C* b) A6 v; n1 h9 g! L2 @
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。+ @* T- c% r: I/ Z5 c! E9 v
8 Q1 g3 w$ w4 H# Z4 o
运行screnc - l vbscript source.asp destination.asp* g$ N o& S! O) b" ` M
8 n* @# X Y- u# ^+ J* A9 `+ |生成包含密文ASP脚本的新文件destination.asp% w5 |- O$ X D2 `. @! ?
+ q! W( m( D9 N& X8 D7 Y( q: I6 H用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了1 ^ Q/ c8 |, U; p5 }
4 M' O4 k) n* i
但无法加密中文。! v. ~- C& h9 j
2 s% m+ u1 j8 Q) v
4.如何从IISLockdown中提取urlscan?
! u, u n! q( L. f9 W* n: E, ?6 a' I5 s S
iislockd.exe /q /c /t:c:\urlscan
# g0 [, ?' P U. i& a8 o& v) {! m: z! D! }+ `: l/ ?) ]( d% k/ S
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
+ J7 S" B/ @! [+ u1 S( b# |! I) `& |1 C5 X6 L4 K; z1 e6 U
执行% B. b! v# R B' a# h; U$ x
0 _) k2 g: s W$ ~: Q
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
% W3 L8 J! Q0 ^
/ R* `) ?6 ?% {& m2 ^( P* T最后需要重新启动iis
' u: J* [) @( E. c6 V. o8 ?0 m* U7 P
6.如何解决HTTP500内部错误?8 A) R) O) a* `2 H- X, |- I B
( D2 t! q$ L7 Q" q' x% P
iis http500内部错误大部分原因9 A3 E; e) ^3 j0 a, n
/ r* u- n7 |; ~* ]+ Y3 x
主要是由于iwam账号的密码不同步造成的。. Q; S- w' r# S v1 G$ d' [4 m9 k
# G1 k) O, [; Z
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
! b, D5 w8 N$ N) q5 S D* S
2 Y6 f8 g/ O4 I# V# t! S, U执行
0 V( a) Z# v: E/ T% A, x3 N
6 t# U; ^% U! N9 ], K, m6 `; Icscript c:\inetpub\adminscripts\synciwam.vbs -v S8 }: p. O: k
* ^4 ^% |- G+ }; ~
7.如何增强iis防御SYN Flood的能力?" `$ ?5 K3 M1 @3 X& S
) Y0 K/ D' s& b1 o/ T. g% N0 ~" aWindows Registry Editor Version 5.00
' ?3 f* M8 D1 t3 i
s8 J$ b- U% A. k- ][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
7 }. V* r+ `1 a1 O( ^4 l; j* s; w3 g, L- |* B
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后" y( M2 }( s+ O
) ~/ E4 ^7 J/ q3 W5 \
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
$ n" y4 O$ ]2 s% o" f; e( S% _3 [. b7 f
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
5 o" D3 a0 X& N* B5 C; Z
2 P0 j) K0 m/ \( v9 Y"SynAttackProtect"=dword:00000002* u( b( [4 k; `% e+ Q @6 |
/ o" K& D/ [/ N' ? P: K" m9 C, R
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态/ a4 H; f' T- S
" e/ }* {3 W* w# I! m: t$ \'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。. {* h- d; K3 E* A* k
4 q: ^$ U$ O* i
"TcpMaxHalfOpen"=dword:00000064
0 J4 T0 ?* x/ k. P% R
% l5 o {/ a' Q8 e$ N'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
+ t% c4 _1 p+ u' A+ A
9 R) r: h# P* i* G6 c"TcpMaxHalfOpenRetried"=dword:000000505 Q; y: A6 V2 I! O6 i! z+ T
; c" u& R3 `/ A0 h/ l' U
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
9 @3 W( d% y2 y. q: q/ I! H7 e
4 Y4 z/ D! o$ u5 i% r) ]3 p'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
/ f& G8 V. g5 _6 R, @2 f9 N& y8 `# W0 K& Y3 L
'微软站点安全推荐为2。
! |- f: \ z! d* _8 W/ m' G o: {8 t
"TcpMaxConnectResponseRetransmissions"=dword:00000001# i1 }0 L, i: i3 U9 q8 z
# t" u/ }9 g: F5 D" Y
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。: W0 L' Z' k/ b
! K' Y# m: o" }6 T/ v! y+ \"TcpMaxDataRetransmissions"=dword:00000003/ l, G2 w1 b! s
4 @( z2 `% P' u+ y% t5 Y4 |'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。+ C( X4 u' u$ i4 L' ~/ G
3 M \* H& K9 O9 c1 r5 L( e
"TCPMaxPortsExhausted"=dword:00000005
$ v, v* ~, n* b3 X( @ y B2 e
5 q2 C. Q( ?: V' {+ x/ k'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的$ u# h0 x. c3 ~0 Z0 I, o" H
$ B- U; ^6 X* ^6 f M5 c$ ?
'源路由包,微软站点安全推荐为2。" i% O9 S7 o# F; A" t4 a$ y/ X
) q4 y$ q7 _. c* Q/ G; M- b"DisableIPSourceRouting"=dword:0000002
6 Z- V# y/ f9 C' D% Y% C) s9 A5 R& f( Q! P
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
: e# }. a8 S; m. B2 Z" g( Y9 |/ Q# B9 Y( ]6 y
"TcpTimedWaitDelay"=dword:0000001e" a. ?6 o0 g) k4 ^5 q1 B* R6 F* u% m
; e" h; Q& v, A8 x7 ?8.如何避免*mdb文件被下载?
! k6 I C* c) N# E: k3 c$ d0 u- e+ |- K- o' r; O( x0 f- V7 x) k
安装ms发布的urlscan工具,可以从根本上解决这个问题。
9 V% y7 k/ W+ x( P/ o5 z! G8 Q- e8 F* f- ^2 O1 N
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
/ E7 {+ `" C G& N6 B% M- s, C& g4 i0 T* \
9.如何让iis的最小ntfs权限运行?
* j" S8 {$ T" G8 Q7 \1 B7 C" c8 `, B, m. f; C& U! A
依次做下面的工作:
1 G1 X0 A9 h& S3 o: o# ?
& U! X' J t* O% H' la.选取整个硬盘:9 C, |( ^3 X7 n! C
$ N! m n6 _7 W/ T. Q4 H$ nsystem:完全控制
0 H X3 w6 i! _: f( S t4 Z1 ]1 e4 I; ` ]) i `' v% |
administrator:完全控制6 n0 c7 |0 ~' c; T$ I2 W
# c8 j$ ^; l- l7 K(允许将来自父系的可继承性权限传播给对象)9 q* q* H6 f: {2 T. X
3 l# s" L* I' [/ u8 a8 c
b.\program files\common files:
3 g# ]# `7 @4 F, d/ @; X* r: ~" O+ B% I& W
everyone:读取及运行
@6 e' w4 a0 E( I: D9 l- z+ v
& e) ~9 U' X3 _3 Q$ C列出文件目录
) z, F1 |' a9 ?" d& Z! n
" `, J& d$ N" F/ j! h3 R n% u读取
. k, O o r6 Q! r: p
/ T7 n( N/ d3 v) a( z(允许将来自父系的可继承性权限传播给对象)5 P1 D- }4 ]: L& G: B& C9 N
# G# d1 G8 u, u- p$ ~7 fc.\inetpub\wwwroot:" E$ u/ d3 ^1 `0 [
- A) W* W' x8 Q* U$ X# l- t9 ?iusr_machine:读取及运行
3 q) P8 c: e* i0 t+ j
& ?6 V1 H* t% i/ G- \2 r列出文件目录1 L# d# }1 v7 K
/ t! D% ]3 ^8 b. ~读取
7 d. u* H( T( L m6 C- H
+ |* S! l# O* P) S(允许将来自父系的可继承性权限传播给对象)
& ^; F% M$ o( E! o8 U& L3 |5 R
: x- r/ W+ c, { @# [9 L, ~e.\winnt\system32:# H3 ]: I4 A; c" G5 t5 a% T) Q) c# K8 |
0 }- I9 v4 n% O4 R _9 d% f选择除inetsrv和centsrv以外的所有目录,) T3 M" s) `& A* y/ Z% c
4 X5 {3 D8 U; x2 w! x+ t: Q" r
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 Q$ u% Z/ O: T
; U! D- d# C: ?( c& h2 J6 t1 O: wf.\winnt:
0 }% f4 ], n5 ~# K
. r0 ?+ s/ \/ o8 ^8 C h& p* y选择除了downloaded program files、help、iis temporary compressed files、" {. {4 i; P: }. I- o3 O& W, u( r
" E( Y% o' k! Moffline web pages、system32、tasks、temp、web以外的所有目录- o5 g! a% \0 X9 x+ M5 E( v
" p, H" Y8 `+ s% ?" b1 o) ?去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
8 y- e' x. r; Q+ {( ]- F5 O3 @. {5 w& F+ D. J
g.\winnt:2 f5 e& Z+ [. v5 J
) `* B$ B/ T! K' _0 \- e# e2 K; \
everyone:读取及运行
4 B! P& N" g5 _4 ~: n
: z" g/ v4 P3 V+ I, h6 ]+ F; z3 I列出文件目录2 O" L7 L, A% o- ^* i: ^1 t
9 i3 J V0 k: |. {
读取
; ~# D5 m# X" ]2 u
2 H5 {- Q; {" }' ^(允许将来自父系的可继承性权限传播给对象)+ O1 r& }' t9 d& G% b) D6 x3 ]
, y! B; H9 L2 f- }6 R/ _ \( A
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
/ X. u* n! e; a" r3 ^: H* J1 I& b5 k) D& f7 r+ v
everyone:修改
; Q" B4 ^1 l! k7 v. G: t _6 v' {0 e4 J0 y; K. z5 O
(允许将来自父系的可继承性权限传播给对象)
6 w1 m1 c& J- v0 r. ~2 ~6 b$ \- B' ?. m0 P
10.如何隐藏iis版本?
) u6 x/ Z2 I+ Y" A+ Z- x2 N0 j# J
7 B: o R9 C* {% W一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
6 i- `/ g9 n2 _8 b& O7 l
( L$ m4 p" I5 Y& \5 c3 e0 ?, t2 miis存放IIS BANNER的所对应的dll文件如下:
: X/ [) I% m3 N" b+ [8 R2 T6 `: ?& g3 ^
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL5 X6 C# M+ y" q# a
" w' y$ q* D& c" @: z
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL7 V& W- x0 L4 t' [
* ]9 b8 j* T8 ` v
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
4 w' b, b/ d8 N7 O% s
g' E& k* W V- c你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0& d. h/ s8 E9 ~6 [: @8 \
. m1 l: S* v+ m" R" X$ L具体过程如下:4 a9 e- a/ g9 K
/ C" b3 m, [# s) r1 C; S
1.停掉iis iisreset /stop0 M! d8 I7 I5 P( Z" V+ ]7 o
' ~% Z) b) t- u8 y9 o; m' a2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|