|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14321
- 金币
- 2446
- 威望
- 1647
- 贡献
- 1394
|
1、如何让asp脚本以system权限运行
7 u' b/ w5 J" C _. ^ [, Q( j. J修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
! D8 p( F) I3 B! \4 d$ w2、如何防止asp木马 ! X# q' X# N+ F2 t" w5 U% q- d6 ~
基于FileSystemObject组件的asp木马
$ o2 Y D ]9 d% y# F3 J! n7 wcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
* J f5 G* j& r' p4 vregsvr32 scrrun.dll /u /s //删除2 R$ O- M: b9 g3 X% c& V- K+ L, B
基于shell.application组件的asp木马. ?9 \, q9 q' C/ R1 O, y" |! S
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 $ n2 l; {6 d3 d
regsvr32 shell32.dll /u /s //删除 3 E6 Q; D1 ^) l' |
3、如何加密asp文件
. K. ^, C8 |/ v1 o9 o8 @6 I/ u5 H从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
2 z( K5 @- _5 E' q; l6 ~* N安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。0 Z4 e7 |$ h6 W' _- i/ V5 V
运行screnc - l vbscript source.asp destination.asp
6 [8 B5 m4 ]- J& d% M# D8 z生成包含密文ASP脚本的新文件destination.asp8 n5 k5 s y$ O8 B/ k: h7 T, f O7 O
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了5 z: V+ @+ v9 O
但无法加密中文。
1 r4 |: ~5 M% [- H4、如何从IISLockdown中提取urlscan + X. x0 C! i& [" d4 C
iislockd.exe /q /c /t:c:/urlscan' ^* U/ K! I8 z4 E
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
1 [8 F' G* r. U4 _- g0 C$ K/ ] G执行 + i x: k- j! U; M+ M0 r1 c
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
' x1 G, k5 d! d) B% g& S最后需要重新启动iis 6 E: h1 N" l: ?7 V
6、如何解决HTTP500内部错误
. ?) B* `& K: g& J; ~) Biis http500内部错误大部分原因* _: J, A n% o$ n. R
主要是由于iwam账号的密码不同步造成的。
% f2 a/ h+ v, `& O* Q( y# h7 n我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 F% \) g3 D/ {+ e& N
执行 " _9 E2 @ B: v/ E
cscript c:/inetpub/adminscripts/synciwam.vbs -v# Q3 @5 a/ l' w
7、如何增强iis防御SYN Flood的能力$ K/ i4 X6 l- m/ t: r
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] 8 n# w! C8 Q% O( a; T6 H
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
' `! T- d+ O( b: g4 o"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。) U* P% e2 x9 Y- A# l
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000506 {% p0 X; z# J& \% H- p
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
( |' _, C1 ~4 {8 W u项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
5 |* L) }; |0 t5 n微软站点安全推荐为2。
% r0 T- W7 y; x"TcpMaxConnectResponseRetransmissions"=dword:00000001
/ U/ i, k; u; m6 w设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ! V% n. R- W0 E7 H* |, S
"TcpMaxDataRetransmissions"=dword:00000003$ C$ P4 @0 O1 `1 E% l
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
' X- ^! M: r) `6 }"TCPMaxPortsExhausted"=dword:00000005 $ }% |; H1 L/ i7 {6 z% D: \
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 ' X( G! [, c; ^$ v2 @0 y/ y
"DisableIPSourceRouting"=dword:0000002
0 W/ E6 \( `& W* n h, ~% F限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。. {2 d; i. B; ]8 A& {# v. m: d
"TcpTimedWaitDelay"=dword:0000001e/ r0 y1 d: Q: W7 A( L3 n
- ~6 ^) ]4 J3 m+ l) f. h' O3 R8、如何避免*mdb文件被下载) C) C( z$ D9 _7 J* T- k: y& |
安装ms发布的urlscan工具,可以从根本上解决这个问题。
& K4 }, a' e# x同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 3 C+ J) G7 u* l- k! a
9、如何让iis的最小ntfs权限运行
) Y8 |' I) M$ a- n依次做下面的工作:
; ]8 g/ V W3 n4 O% ia、选取整个硬盘:
) P& G$ c6 c- h, q2 S+ Osystem:完全控制
) d9 q+ [" h9 j2 w6 Nadministrator:完全控制
' Y( p E9 \) l! ^(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
; k$ W9 Z4 W1 B9 r/ _+ peveryone:读取及运行列出文件目录读取
5 [; Z/ z/ N3 j* D: D(允许将来自父系的可继承性权限传播给对象)
. B8 d+ D- o. W1 J7 D0 Z7 Q& Xc、/inetpub/wwwroot:
2 O5 a k! m9 W9 @+ U" ?iusr_machine:读取及运行列出文件目录读取
6 t4 e" ]) v, |3 n0 Y(允许将来自父系的可继承性权限传播给对象)- J+ o: ?+ K% Y8 g# s' l0 V. C
e、/winnt/system32:
3 T% R4 m$ l- b+ q1 e2 O+ L选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
/ w* A1 K5 q: ~. \" ?1 Gf、/winnt: p1 ~( Q! b& i, Y
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
% j) h4 U) y, L- w" v- r0 i+ L* Yg、/winnt:7 C9 _- P" | \. l& E G! S
~$ F: b9 c s/ Q( U5 Jeveryone:读取及运行列出文件目录读取
, g ]# V/ b( _; D* d y$ `(允许将来自父系的可继承性权限传播给对象)
$ N& v9 W0 Y8 |, w! A& b+ s, Th、/winnt/temp:(允许访问数据库并显示在asp页面上)
! n3 O# d$ Q& O veveryone:修改 + K, J2 p' G; V
(允许将来自父系的可继承性权限传播给对象)
8 [8 W+ _" l( B10、如何隐藏iis版本 1 q- j. C; A0 P2 `, ?9 n( `
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
& `, X; B' e, A( a, Qiis存放IIS BANNER的所对应的dll文件如下:, p* u9 b" ^, l) }# T6 y
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
" \+ V# T/ T4 S% W3 g8 EFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL( L& k3 E n. R& H* \
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL + \9 m/ q' |! {9 m$ D
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
0 ?( w' f% v! w具体过程如下:
( h& ]. O, x$ X6 ^1、停掉iis iisreset /stop
3 d s6 {6 ~( r+ N9 w! n) T2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件5 {( }( }! _2 }3 o8 e! R
3、修改 |
|
发表于 2008-1-25 02:15
| 