|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14171
- 金币
- 2376
- 威望
- 1647
- 贡献
- 1324
|
1、如何让asp脚本以system权限运行
! \: C6 _8 _; Z1 v, B& W1 i修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
' K8 v+ a$ ?7 D3 t% ]- b& k4 p6 [2、如何防止asp木马 " t# v! l7 W2 G5 x. G
基于FileSystemObject组件的asp木马
: q0 N6 H4 I0 x/ t# a! Lcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用* j/ H) I/ ^9 E1 @
regsvr32 scrrun.dll /u /s //删除
+ \2 |" P& k" }. \$ y- G2 g基于shell.application组件的asp木马
, }8 z0 z( J# }& gcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 0 |! w$ p; ?/ ?, F! y
regsvr32 shell32.dll /u /s //删除 $ \" \6 |: s% o' H$ I7 n
3、如何加密asp文件 1 [- K7 N; k2 W) V! w# U" e) W
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 # I6 \/ a6 U: {( l2 `6 t
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, v( S1 |& o, r4 e: d运行screnc - l vbscript source.asp destination.asp- D& X! q* s3 w) N) D
生成包含密文ASP脚本的新文件destination.asp
& l4 U6 ]* o) [用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了) e" ]0 J% b: Y) ^2 f
但无法加密中文。( C) ] o$ C0 s0 j
4、如何从IISLockdown中提取urlscan * s5 O ~) Q5 `7 Q. ^$ X: I
iislockd.exe /q /c /t:c:/urlscan
v- X6 |) I0 e. D8 O8 K5、如何防止Content-Location标头暴露了web服务器的内部IP地址 $ U: b. z2 E( @8 O
执行 # T, j; _' l8 Y8 r( v1 \$ N0 w
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True ! w* @6 J% v/ M, _9 _$ z
最后需要重新启动iis & H- e' j( D3 X/ D g' v
6、如何解决HTTP500内部错误3 U! z$ {) I7 P4 S3 I7 W* m
iis http500内部错误大部分原因
1 b2 M4 `5 c& d0 \$ I主要是由于iwam账号的密码不同步造成的。' z/ w S; Q' }
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
' A5 X) g/ S% Z8 b& b: M6 |) h6 z执行
. t( E9 T* y8 k1 g. Z7 ~- a) Zcscript c:/inetpub/adminscripts/synciwam.vbs -v
0 e; Z x3 K1 F! u% U) h1 U5 N7、如何增强iis防御SYN Flood的能力
1 c# S6 n5 X6 }( F) a7 SWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
! H+ \0 @3 e& C% V6 w4 G4 Z启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
9 k R9 T4 Q) Q) _* o1 f* D"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
8 e5 v' h+ a; M2 f. x0 a"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
+ V3 F, R8 J) [2 J8 i设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
9 R" b/ X4 X+ k6 b" g2 C4 e项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
6 s& ` T6 X. B9 e) Y! J* ?微软站点安全推荐为2。' y9 _4 g6 S5 { _$ S; ~. ?% q
"TcpMaxConnectResponseRetransmissions"=dword:00000001 # w( y: D, Z9 V0 n$ j% {) G
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ' }. q" w9 v5 |/ e& F+ {
"TcpMaxDataRetransmissions"=dword:00000003* w: S! o6 a, }2 J. p. a
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。$ k+ m# s% P# i# C; q2 r) F# _
"TCPMaxPortsExhausted"=dword:00000005 # m2 N# P5 t* `9 o5 ?9 p6 L
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 7 g1 {$ e3 ?5 X) H* x) I
"DisableIPSourceRouting"=dword:0000002
+ j; v W& J0 y$ g, _; Q# e5 O限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
+ J2 V+ a4 Y( ["TcpTimedWaitDelay"=dword:0000001e' r9 g* E7 g. B: y% [
! h$ F$ S* l M8、如何避免*mdb文件被下载% m/ T" l* i: s4 N& v
安装ms发布的urlscan工具,可以从根本上解决这个问题。
/ ?" j( I, U+ g1 I同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
# `+ V% a. @# x; T9、如何让iis的最小ntfs权限运行 - X7 D+ p" P9 ]/ y; I" [
依次做下面的工作: " a; B% C+ ]3 J' h/ a6 }" X+ ^
a、选取整个硬盘:
& V7 L* j3 E, v1 E' I* N* z) g- Fsystem:完全控制2 f( z9 V* o% u+ k* C2 z
administrator:完全控制
) G$ V$ {( d# ^' g) c(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
1 N9 X- j2 O6 `3 Severyone:读取及运行列出文件目录读取
7 E4 l3 E9 U2 ]1 r- D5 q(允许将来自父系的可继承性权限传播给对象) ; A$ S% d6 A* Y% ^ H U$ R
c、/inetpub/wwwroot: & |) ?2 y2 d( G
iusr_machine:读取及运行列出文件目录读取
9 W5 H& i( ~& }; a& |! W(允许将来自父系的可继承性权限传播给对象), q$ O% Z. ^ d$ E6 B
e、/winnt/system32:% L* l+ I) P' m6 U" x
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
2 D ]' R( ?* c8 h$ w# V {f、/winnt:
- X+ e& v# L) A h* i' C选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。% U, Q, O, n, M% h! N2 d1 p$ }% m! o
g、/winnt:4 w8 u6 V& I) F2 X
2 j4 K7 l F& \everyone:读取及运行列出文件目录读取4 P$ \; Y" }, c! E
(允许将来自父系的可继承性权限传播给对象)
H; Q' e5 t0 J7 P; m2 j: ah、/winnt/temp:(允许访问数据库并显示在asp页面上) e S, P4 r* B% G$ G
everyone:修改 7 q; ]- d4 u, s! @5 n2 C4 q
(允许将来自父系的可继承性权限传播给对象)4 Y* A$ w/ L* @! H- l4 s5 i" x
10、如何隐藏iis版本 8 H# `" \* l& P$ D( g }
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ) t7 E: |+ ?1 j
iis存放IIS BANNER的所对应的dll文件如下:6 ]* a+ o# N5 s6 o0 ~
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
( ? Q' G; j! A9 ?' r9 yFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
% E" X) F/ L2 B9 `; k( sSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
( |( y3 G* d0 d5 k8 `+ k2 r6 V$ k你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 9 ?+ j( j: `& ]
具体过程如下:9 n; R1 j9 B5 G( V' p( G5 O
1、停掉iis iisreset /stop
- z' |8 d/ |& r& T2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
y! U" r$ b' r3、修改 |
|
发表于 2008-1-25 02:15
| 