TA的每日心情 | 衰
2019-8-18 09:37 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
1.如何让asp脚本以system权限运行?! D3 Z4 x, ] L) f* N Y
6 z* o% d c! T( A* T5 v修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....% f/ |$ E, s8 X7 N2 E) x
- z" x: ~6 G& @6 v: H3 `1 ~2.如何防止asp木马?/ i0 Q1 n* a+ K2 \" k; F" s
7 s. ]6 V$ r; q! f5 ^4 P4 Q
基于FileSystemObject组件的asp木马$ Z0 i9 o$ e7 {& R
( ?8 F4 i0 V* u; F6 ^0 _( C5 {
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用9 e2 U$ Y! _6 R% [# r
' U* N" `, O' \ }& c/ }regsvr32 scrrun.dll /u /s //删除" `9 q1 d2 x2 _
! I% ` K+ f( J基于shell.application组件的asp木马
( \$ R, z" H" v7 }
" a5 ^1 ]! @1 D: k5 S. W. M% e& e) wcacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用- Q, H/ f3 w; o5 V' D: o" O* a: ?
) Z% N3 o" ?6 h1 x" i2 @
regsvr32 shell32.dll /u /s //删除
/ b' s; x( U4 t+ z
o; W# m, R6 F( [: q' a0 v6 l3.如何加密asp文件?
8 r m; b9 Y8 d7 W' R* R$ N- w9 j2 c3 y) i* \9 B
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。3 q6 S G. f+ \" j2 C3 x
0 m3 g a; W2 W8 y' D/ }安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
! L, _# N e& H* S/ O6 u7 M6 h7 L6 z( {# K4 B' S
运行screnc - l vbscript source.asp destination.asp% G& ^4 }8 u" a: m8 f/ ^
1 w% D* y( n: _! D. b
生成包含密文ASP脚本的新文件destination.asp
/ ?! p. t+ J. O; O2 k C. F8 M0 N4 T9 X( x/ R! R, {' i
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了: K0 t6 ^# I; x" k5 F
' P* O7 e* T/ U4 P
但无法加密中文。
" R9 m3 Y, h! f/ A. e) {( |- t6 G5 N: E8 n0 t
4.如何从IISLockdown中提取urlscan?4 o& n) Z8 C$ \' ]' O8 [! q
$ V- n# z7 R9 R7 xiislockd.exe /q /c /t:c:\urlscan
4 e0 o% w) v+ ]2 x7 R( ~( M3 g6 D+ y8 i3 K2 P' h' ^9 C
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?9 b: y$ H8 [' R0 R0 n' s) x
# Z' D3 t6 _, c) P8 ?+ `
执行
6 u6 B% o" f; d0 q, p+ r7 F, J, H% |; p( h4 Y
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
: h( R5 e! o, ]2 F. a- I$ S$ v x! o# {& b
最后需要重新启动iis
7 e, p. t0 z! E
7 k% b& a/ s- ]6.如何解决HTTP500内部错误?9 C h6 Q, ^4 F; m& V6 [/ R
; f; r7 U1 E$ L0 v7 \8 F) e
iis http500内部错误大部分原因! C" K* I( f, \6 P
" M5 J- ^- P) F% L6 \8 ]主要是由于iwam账号的密码不同步造成的。% V$ K H/ Y. r, }! \
4 u# D P+ W6 k( K
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
; k R8 h2 L u* E
: l) s4 ]/ ^/ {/ U( [执行( f1 u, u. o/ S; {+ m @/ O) H% B
% b# d9 g$ P- l/ X
cscript c:\inetpub\adminscripts\synciwam.vbs -v3 t z& X% t8 T. f
& @) T. ~, e0 c# T3 V' ?7.如何增强iis防御SYN Flood的能力?3 \3 t7 h. q" f" j+ c
7 _% E: a3 a/ Z: e4 H
Windows Registry Editor Version 5.00
. N( I, P( i$ n( b0 {$ F8 M1 t' z+ }5 a+ Z% T3 x$ [% n
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
- c w* W9 x8 `0 ~; C' v
( ^3 J9 s: B1 u; ]" |2 E# _ n'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后! n5 Y! z3 |8 g
, Q) R- ]: q$ F7 k: S2 @
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
! N/ _9 U% V3 b% b
}# X S1 @) P) o0 I* T'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。/ v- I, K- {3 v, F: w
5 c! U2 M: m. d$ t G# F. b
"SynAttackProtect"=dword:00000002
3 ^* k7 o4 |( @2 f! o/ q9 K/ y2 C; ^5 F+ K
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
7 H! b( Y; D9 g1 I5 T. X% f- G+ J2 V3 x q% g6 o
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。% @, s: d" |0 I0 J# {' U: l
, V! b! L# i; Z4 Y. f"TcpMaxHalfOpen"=dword:00000064
" J9 N8 ]/ n& m1 @. R2 P# i4 e) F1 b
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。( G! \$ H- D/ f- Y& T
4 C3 H6 z; p) o! t' d2 O
"TcpMaxHalfOpenRetried"=dword:00000050; n) E; H5 F! A4 m4 W. R
" {1 m% c! D2 r
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。% l% \8 w: f r7 a+ U! u
6 P1 t: g9 [5 ~0 a" u4 c/ b'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。3 v% J" E+ O4 s3 [# b5 z4 I
5 ]! c7 a+ {6 Y$ D; j! g
'微软站点安全推荐为2。
7 Q9 J' }) F% V2 Z/ v1 B6 S3 K1 }6 o; ~. f1 `; r
"TcpMaxConnectResponseRetransmissions"=dword:00000001
2 C5 c& a, n& p- f% f' N$ F
$ s; N5 ?2 u* c m! X'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
( Y, E% t. Y+ {" h/ W5 c1 u# C4 }
! f' m6 I9 [3 P- Q3 \* I$ J' u% M0 e"TcpMaxDataRetransmissions"=dword:00000003
/ S: K* H0 M8 ]) I# H
2 r/ v9 j' W* V'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。3 `. S% F# P" \9 }3 G8 V* S5 k3 \! k
/ {/ X( ~. c% l+ ?1 F, o* a" u
"TCPMaxPortsExhausted"=dword:00000005
/ a" L' s, ]! B1 b6 P; }
. C) l/ P a0 @" v. j( \3 N" t'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的3 N$ k5 c& {3 F2 o1 K
: F/ j( J1 w" P/ J
'源路由包,微软站点安全推荐为2。
! B+ S8 t- _7 g) ?2 Z% w, r2 c! h9 s# ]2 p n* h
"DisableIPSourceRouting"=dword:0000002# v/ X8 f0 X7 \8 x6 L( j% |
^4 M' l2 ~- R% w, S! h'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
" b3 u8 e' a4 H1 A a% \ b( \
6 o$ F. i) i( Y V3 w1 E/ Q"TcpTimedWaitDelay"=dword:0000001e
5 E4 @& E% T; @9 U' O8 B4 v0 t
" a* `! j' A* o; Q! D0 l8.如何避免*mdb文件被下载?9 `! S- M( u+ _, H
/ \6 r- g% c' ^8 R; @& g安装ms发布的urlscan工具,可以从根本上解决这个问题。
* C/ Y. n. X8 L& o5 x/ e, _; x. a' S4 w6 j3 V6 B/ T
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
! m$ [- r% P4 e" ?. k0 k) G9 J1 \* V# P2 @1 `) l
9.如何让iis的最小ntfs权限运行?/ W5 j2 c4 S9 Q+ F
( _: E0 ~5 d6 j+ h
依次做下面的工作:
* s# T! y) n) O* t [7 E8 L$ J8 D3 y9 M" R$ W- W* p+ M' N# h
a.选取整个硬盘: y5 J0 t: V! J& J
( T& Q) |& i) j8 C& G+ `system:完全控制
1 q6 \, z3 \' B: F' }4 E
2 R7 f5 ]; J7 n* I) T$ j3 p2 Gadministrator:完全控制
7 j/ Y5 y8 w( B* A# W3 h
' u1 B# Q- t' q* w& g(允许将来自父系的可继承性权限传播给对象)
( y4 c' K6 h5 D% J3 e0 p" Z
7 D7 J. c0 ^0 r# v! \$ ^. gb.\program files\common files:4 |/ @8 A* I, T. O( x! I1 f a: k( h" C
) [$ D+ W8 h: m) I
everyone:读取及运行
6 w# k$ F1 n {* v" C0 }+ b2 r, F' f, w
列出文件目录( A+ m ~# J; f. x a/ ]0 u2 B# y/ @, Z! G
1 j2 Y, s% _0 n3 s D读取
* k9 M& v/ z, M$ e9 J! x+ s) [5 r: q% p
(允许将来自父系的可继承性权限传播给对象)
' j( H- [. @- E. ~7 {8 _2 K! V* |) x( ?
c.\inetpub\wwwroot:
m) z+ T% Y; l9 }/ T) B* s; q
+ s9 T8 B! ]. O3 Giusr_machine:读取及运行, e8 C" m2 U0 R/ R+ ~+ {) N" y
* B" ] w* ~. [, \* F列出文件目录4 Z. Y" p: u2 I1 m: `
' U8 W/ I Y- Y! d) z
读取) E+ l" H( M R2 r# e3 E7 D. c& j
% H! |9 L3 j" M" v
(允许将来自父系的可继承性权限传播给对象)6 p: F: Z" a5 A; Q
6 p6 h8 b" g$ xe.\winnt\system32:
2 }8 X g% i; x/ M" h. {! l
% g0 Z+ C2 U0 V- X选择除inetsrv和centsrv以外的所有目录,% F% e$ x% B- I$ W3 r, c
/ I; d/ ~5 i0 ~% ]去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ t5 O. s9 q- R" Y7 U# S! n+ v, e# h5 ]
f.\winnt:2 b, w4 b0 r6 A4 F8 O
/ g0 Z+ X+ x: I" Y
选择除了downloaded program files、help、iis temporary compressed files、
3 b5 w; [: D8 h8 Z4 n! o" o. W5 D3 K0 I' H1 o7 v* w
offline web pages、system32、tasks、temp、web以外的所有目录
" F( c/ Y. w+ k, T/ N/ k4 I, |' v! a) _3 H, v) t9 l5 R- t5 l
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。3 N8 u1 _0 ~7 e E
0 E' F( |* _" u, ~, ]7 V/ j0 j: M) n
g.\winnt:
7 C+ x5 o$ J9 a8 o4 `" V6 s- V7 d7 a
everyone:读取及运行
. \; f0 h3 N" s- j( \+ U- a8 p$ {7 [/ l5 a/ y1 s
列出文件目录6 m7 |. D# \+ G" W% n0 L- A7 u( i
" u0 d! E* B1 }1 E |读取6 {5 q% }3 \; k: F7 m, ^& p0 D9 g1 L
: W; b c- W5 B s( e9 u/ X4 y5 e(允许将来自父系的可继承性权限传播给对象)! Q' U* c+ {, M: g2 y9 \, A
% l/ N8 W2 P' Y' U; o1 a* D
h.\winnt\temp:(允许访问数据库并显示在asp页面上)$ E9 G8 q3 S6 Z1 ^% [
' k0 q+ L4 T" L _- z9 A* Yeveryone:修改2 n8 ~3 Q/ _. k" m0 E1 U3 G
" c8 R& v0 F3 r) ~(允许将来自父系的可继承性权限传播给对象)
: N$ B, W4 C0 S1 q
% H6 ~9 E0 z5 k$ g- Z) d# }10.如何隐藏iis版本?3 ~2 w% B% i. c+ d6 ^7 n
9 N' H% k) y2 W& l, O+ @
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
+ E$ Q9 I7 v8 `2 d: h$ {" y% v. U% R0 O6 T
iis存放IIS BANNER的所对应的dll文件如下:7 a8 [; [$ T6 U/ A
8 f* |3 s2 u% n1 K, bWEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
+ O/ Y/ W$ }) w9 j1 s0 x @$ B& H: h! N7 ]7 }2 x; \7 Y3 n$ c
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL+ k5 k8 S! `; X: N+ q! {! B
1 _' S) f: T5 E# Z9 k8 @SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
/ ^7 [- x% z- I9 k$ C" R7 ]8 c' Z8 s4 H0 h1 s4 W2 _' D" _2 c
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
0 G; i4 J$ B+ C% n0 _4 N, [
) O. c$ ]6 o) x" a Z具体过程如下:
" V' V7 c1 U1 W& u' D7 e9 U2 y1 J1 b2 P, H9 S# ^
1.停掉iis iisreset /stop
: Q: A; V* g3 `8 j# b9 s' P- V
1 y$ t4 w' j( u- o' z2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件 |
|
晒晒我家乡的“夏花、秋枫、冬雪” 上集
大学毕业证+驾驶证=找工作更容易!经贸学车
916壁虎轮换社青秀山烧烤
:◢▇▇▇▇经贸学院音乐社所有传奇人物②
第五届校运会——开幕式
|版主考核中心|『经贸在线』
( 桂ICP备15001539号-2 ) 
IP卡
狗仔卡
发表于 2009-10-16 01:35:43
收藏
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡