TA的每日心情 | 衰 2019-8-18 09:37 |
---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?0 k0 T7 u2 V- n& _ l7 S+ [
8 i# H" v) M$ N0 E! r6 r8 R
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....- t: o" H. Y) g
5 \1 u2 F) \0 K+ f: }
2.如何防止asp木马?
: u1 ?! w% G- g5 \( }5 p x' J" ]* T3 j1 d6 {% y6 p
基于FileSystemObject组件的asp木马
% C/ t8 r |/ p% E
' t5 r! Q+ e4 X4 j% m# p; mcacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用* t# ^ g8 v+ Y2 `7 n% M
, j/ o. P6 j& e; ?4 G" U9 b2 gregsvr32 scrrun.dll /u /s //删除( W$ m8 _3 g& Q5 E: A- A/ E# p. o9 g
( B9 {( s m7 ^
基于shell.application组件的asp木马
/ P( S$ f4 I8 R" U, ~; v$ Y! H6 {: {7 y
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
& V, V M% o. B" D1 l& z+ X; W
2 Z% Z7 ^9 E ~' p, S% N g# gregsvr32 shell32.dll /u /s //删除
3 a7 u+ T0 q( U* G0 x5 M' a C, h' p' f& j) ^, V! J! @
3.如何加密asp文件?
$ b% B: H' C% E1 `# C" n/ |; ~3 g
: ^/ \9 M$ I0 ^2 H& L从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。/ \4 J& O0 s4 [7 v2 `
( o0 W$ p# N0 R
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
9 ?' Z4 ^0 c# I" D" P% N6 B$ u5 ]
运行screnc - l vbscript source.asp destination.asp
o5 l' _+ u% E4 D) X# x2 T) S
* e6 r- K8 p$ l0 k& P3 I& H" W( P6 j: t生成包含密文ASP脚本的新文件destination.asp
' _+ z7 f- U8 }- G4 c1 q7 m! \- [- X
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了! q( Q) K$ A3 A9 m) V& e. G
/ c/ c/ I, c3 l但无法加密中文。* t9 Q# S( b# a! c( K
3 V" j& A1 f+ T7 X# M/ \; k% P
4.如何从IISLockdown中提取urlscan?7 z% m0 L% {: h6 }5 d f4 z( k$ b
1 w6 {( B1 K, B d
iislockd.exe /q /c /t:c:\urlscan
% |% |* {' d$ U
, q1 K+ s' g( q$ W+ w* \# J9 @5.如何防止Content-Location标头暴露了web服务器的内部IP地址?; }& w1 F7 @9 R8 K8 ^
7 h% w% Q! H& h
执行# f7 @: }0 g3 L o2 Q" N
% {; u. B- ?+ W
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True& @4 s( _. C; R( ~# e7 Z" j
) F' Y7 R4 s7 M# g+ |+ r2 X最后需要重新启动iis
* I. Y1 p7 C0 h6 l/ p$ L7 t& F1 H" L, n" i; e: A/ U
6.如何解决HTTP500内部错误?' x6 q$ Z7 h" @) f# ^& n
8 a1 x. \0 z+ N0 H/ n( ~iis http500内部错误大部分原因
" Y+ }) f. S3 v) s6 o( G
& K- _% S+ G5 ^( T+ D主要是由于iwam账号的密码不同步造成的。
! e! S5 ^! O5 e5 D6 z; b
5 } p, g0 u* y% w8 q# ^- I我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
6 c1 G a) V3 P4 l- l) B$ [0 J" @+ `6 W" O7 W0 I+ e
执行% O' ], M4 J$ D s' y9 r# N! B
3 A; R3 `9 m1 q5 X0 c/ [# |4 Rcscript c:\inetpub\adminscripts\synciwam.vbs -v
" X! m$ a+ t" g8 P& j: a0 c! ?! y& U; c* `
7.如何增强iis防御SYN Flood的能力?
3 w) K* B5 A. L0 H0 J7 |& \, r
! `# G, _/ H# V1 X5 |: c6 J3 ]+ | m9 WWindows Registry Editor Version 5.00
" ]4 z) U% ^1 t9 G5 C: S# e* z4 ?
: h8 x! ^ }+ E: V3 I[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]0 b) s, X' f& q# f
1 z9 W( a- E; U# j: f$ t& D% b! {
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
6 z8 m6 t F% A1 X t0 @: }
: O% |0 X9 y3 _'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值5 c7 J- L: R% y# s t
3 ?3 V3 c3 A- Z7 x9 i$ K'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。9 D1 ^' H5 n: F
. `. F2 n! O4 t! ^! \* H"SynAttackProtect"=dword:00000002' f* B; e# n& q/ ]4 B) Y
# L5 y& ^# `4 i
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态* ~- h- t5 ~! v' \: b+ y4 h, O% ]
$ C/ }& t. O3 x, S
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
# l0 l( A+ o. K3 F( }
/ K7 b w u) Z2 \! M. G"TcpMaxHalfOpen"=dword:00000064% D4 l7 S. r3 p/ R; _
- w( O- |* B7 Q9 @6 z6 m'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
4 H7 k$ l$ ^# p5 L
/ w0 E: ~) m# h/ T( \# F"TcpMaxHalfOpenRetried"=dword:00000050
% j" Y T, O$ g3 T1 [3 y( I
( r8 N$ e% }% Y'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 Q8 z8 ], R% i$ y! z' [ `
# P0 H; N( |- T: o8 A$ z% u$ G3 p0 X; N
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。) {5 }- a1 f0 w! j* q1 d
1 P/ ]- n3 Y& C6 L) ], ?$ w
'微软站点安全推荐为2。
$ R' U- M% W z
k: f0 N$ f/ @7 \; C"TcpMaxConnectResponseRetransmissions"=dword:00000001, |* D: Q. Q% J g5 U6 g& m
9 X1 F+ G& P6 z4 O( o' t% x'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
+ n: B7 P! Y) r0 S( ~! B
4 Y/ \* r4 g) c6 W"TcpMaxDataRetransmissions"=dword:00000003
) q1 u; D: R1 v% d; v; M* i$ j0 u* J+ V$ I q
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
6 S8 ?. M' W& N0 i# O+ h, r- y4 O* E* s) t$ V
"TCPMaxPortsExhausted"=dword:000000056 o! x% Q$ J# X5 K9 o
1 ~2 v0 A! B* K, @5 K, u9 [9 l8 _
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的! o; @1 s+ v) H& t) ?, W$ m
8 C# R' h6 b& G L( o'源路由包,微软站点安全推荐为2。2 j+ \7 r" l: J
" M, U( I" W2 U( u"DisableIPSourceRouting"=dword:0000002
d) H: j( {6 O5 w3 A- w& G/ U
# d! b6 k% x% d' I'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
4 W, I2 B, Z% {4 w- u
; C; k6 N/ U) ?, \& g# O"TcpTimedWaitDelay"=dword:0000001e
) l" |" S: ~2 h2 ?9 k9 ~1 \" Q
' i+ `* B, c) }8.如何避免*mdb文件被下载?) _7 }4 e1 Z7 D5 g9 _+ K4 |
, _: `7 f+ ~" w7 o7 i; V" i3 ?安装ms发布的urlscan工具,可以从根本上解决这个问题。
, n" D2 ~( u) F9 n0 n5 w# y+ f- U% J4 W$ B; i# Q: A' x
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
$ @+ s; a) Q0 T, R6 r3 g4 `# V3 y6 V' ?; w
9.如何让iis的最小ntfs权限运行?. v0 _, ~6 R! e
% i; G$ g5 L9 }, p4 n
依次做下面的工作:3 y5 ~# X+ j5 n7 d( s" B
$ u: N; q8 o, a1 L, I* l
a.选取整个硬盘:; I0 |5 t1 G6 K
; ~ o9 U- v& K8 R4 ]. J8 U
system:完全控制
, S) I5 _( H" f; m( G
5 Q& p8 ~( E) y( ^; `/ P# z$ wadministrator:完全控制
, `- ]0 S. I, L3 i4 n0 N* b
I3 J# G' }& T3 A$ k; _0 j(允许将来自父系的可继承性权限传播给对象)
9 X: N% ?( @9 l& H* O, j) c6 U' f- B* t
b.\program files\common files:" c! R; w1 h( N% t* |1 K
: ~7 q. b( c+ L2 z- V' D# B
everyone:读取及运行
9 q9 O' b# I- B1 {% P) y, X' g" O, p
列出文件目录
! k; _) B3 b9 S, v0 `! w- y) b+ Q* Q5 }% [5 ?3 c7 n! }8 z
读取
8 L8 {# m/ A9 T' Z0 b5 t$ s }6 m* x& {4 u0 R5 b6 }% \. }
(允许将来自父系的可继承性权限传播给对象), {4 |8 x/ O% w* Z4 S, z P& \
- G% { h( ~+ o5 q9 A" H4 y% ~7 r
c.\inetpub\wwwroot:
' k, {7 a# [. j: ?0 |4 i) R3 U* ` I2 k) q8 a0 L* P# A3 A/ `
iusr_machine:读取及运行. C# L2 W r5 ?2 |; |7 F
+ |2 ~; V% m$ h3 I3 l; E: r+ D列出文件目录
4 i% c# t6 h9 i4 l9 L1 H3 Q8 A/ Y+ C
读取
/ A' S' B( r' V# j, V; V: G( m+ @
' y6 p4 |+ ?& l8 D' F(允许将来自父系的可继承性权限传播给对象)2 ~3 o. r6 m* R. P# l' I
: x9 ?. T0 @0 `4 Q) y
e.\winnt\system32:
* E" @* J1 u' r% M% c3 Z( \) G+ s% I
选择除inetsrv和centsrv以外的所有目录,2 W' G- s t! g9 p
" L; l F. x% Q8 F7 g去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 ^/ C, J& \5 i5 u7 s, E. T# n* J' L' z
f.\winnt:. [6 p u) a8 n* z9 B6 {. g
( M# I! K. R* N! g
选择除了downloaded program files、help、iis temporary compressed files、! E# G6 a8 v9 L
. X7 V. Y7 o( h+ f8 z
offline web pages、system32、tasks、temp、web以外的所有目录) O/ A1 b+ v; ]4 j
" K% t1 j9 J% w0 N去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
7 F3 V8 M2 B" ?9 ]* k& ~8 p5 U8 R; [8 @( X6 d0 a
g.\winnt:
- D& r9 k& x) O+ ^1 }
3 M. D" m' n6 {1 l' {: R. l; severyone:读取及运行
5 s4 J# ~ u) N. R+ S# V+ g5 [7 S/ k0 v5 s
列出文件目录
8 c4 O7 n u: D, U' p
; e1 p% Q4 [1 G9 {, J! k$ m4 j读取
. j* ?6 s/ Z% M, h& q
- j& Z2 s' W: I6 P(允许将来自父系的可继承性权限传播给对象)2 @1 j6 R9 s( d/ r# H; S
& T5 F, ^- X" R/ V4 `
h.\winnt\temp:(允许访问数据库并显示在asp页面上)' _% J" R, [& k) _. _
u8 V, s3 j2 zeveryone:修改
1 H" G' A. ~- F' K9 }
9 m! k& d! [6 N2 K# q(允许将来自父系的可继承性权限传播给对象)
+ e6 ~: S m. k9 u, Z5 c* H) f2 e) z+ N$ z7 `! \; F
10.如何隐藏iis版本?
/ f) D. }0 H: N1 k8 z/ _! u
4 y& }% [# R8 `一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息1 U% c6 r9 B* W: c
- l. W, @+ D! n4 t, k3 Miis存放IIS BANNER的所对应的dll文件如下:
( b# R* D% M& W# S- X3 _& T) W y# A, n! @. f- r
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
. M+ U' ?$ `6 w/ f8 c! z4 n# y' A2 l
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL6 R+ Z& B6 L2 c9 X, T1 z. r: W
4 |' [4 q1 B* h; Y
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
) v! W* d5 L+ ]- o$ `5 K& \! t# K9 U( g( M
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
+ |2 m* K: r) W6 Y% y5 y* G$ p9 q- W# X& f
具体过程如下:
+ c- N+ t1 U1 G1 Z! P; e! D5 v x/ M) D' r
1.停掉iis iisreset /stop/ C* [# }/ |" [+ K
" n" {2 M8 M0 X, A( e8 Y! E1 `2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|