|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14347
- 金币
- 2459
- 威望
- 1647
- 贡献
- 1407
|
1、如何让asp脚本以system权限运行
1 _" F5 m$ H% n/ l) I修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... # P' v+ f. b( v. \# T6 a. |) |
2、如何防止asp木马
6 o. W/ S" B9 X/ F8 o基于FileSystemObject组件的asp木马 - j8 O% t: ~4 F5 g
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
; O7 Q7 Y& ]4 \regsvr32 scrrun.dll /u /s //删除+ |3 G- {$ C1 ~
基于shell.application组件的asp木马
( P' O5 P5 Q5 a9 S! g4 y% G! e! x$ Kcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
7 H4 _& t* g# H- V0 B, W( c- oregsvr32 shell32.dll /u /s //删除
8 f: h. ]; b. F( F- Q3 O6 s/ R3、如何加密asp文件 + O. y% s" t2 d
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
* k6 Q2 a) O+ l- P% _* K2 h安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
/ J: { e$ N. \: Q: S运行screnc - l vbscript source.asp destination.asp
' b9 I9 D( B! O& A# {' C+ ]! k$ o生成包含密文ASP脚本的新文件destination.asp& D' X3 m: @0 q
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了; l w* f# r2 T& `" w: G% b
但无法加密中文。& `4 z* t5 S8 i$ U* Z+ k4 |
4、如何从IISLockdown中提取urlscan L" E& M1 k9 _3 j! ?5 i
iislockd.exe /q /c /t:c:/urlscan" k7 t5 q, R; Z; y
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 $ t+ Z0 m0 O0 i& F
执行 ) S# B$ h+ P9 v" X1 g
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True : O$ `7 Z" L5 O0 W# p* f2 p
最后需要重新启动iis : @& p2 K2 _$ x4 k1 p; I7 E
6、如何解决HTTP500内部错误' E1 B3 q$ o2 B+ e9 @6 U! O2 `. D& k
iis http500内部错误大部分原因5 H' l7 S) O$ v2 }
主要是由于iwam账号的密码不同步造成的。' u' M+ @5 V" C* d' `$ ^9 B# _& \* }
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
; N) \4 m: L% B3 w执行 ; z& g0 t( }) }# G7 Y, E1 h8 y
cscript c:/inetpub/adminscripts/synciwam.vbs -v# f3 n- Y; F4 W* f/ e7 ^
7、如何增强iis防御SYN Flood的能力9 i" E) s- i, }2 G
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
5 u/ a& A; \7 O2 w$ _$ M" i! t启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。! T- w8 i2 K) z+ k
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。3 ~% T8 m) @+ r3 V( Q! m6 G# G" n
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
6 I1 H* u; a+ U) M; V设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
1 z' E8 W) x9 g% X9 o9 k- D项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
+ P) r% Y* N; N- p# o微软站点安全推荐为2。
0 z$ ^+ B! C7 S"TcpMaxConnectResponseRetransmissions"=dword:00000001 - N* w t2 D% A9 J3 C1 j; ]
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
" I/ }* [2 w0 D) F7 Y0 ?"TcpMaxDataRetransmissions"=dword:00000003
/ K3 ~7 G+ o2 N# `+ z. S9 `设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。5 ]$ ^+ a) L2 z3 i' ~. {
"TCPMaxPortsExhausted"=dword:00000005 4 Z: u8 X2 h; h% Z$ q% z* [
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 % ]5 H& p" v$ @ X0 h6 N" v7 B
"DisableIPSourceRouting"=dword:0000002% y9 ^% M8 X+ f3 d5 l
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。$ k( B1 y4 r+ X! C. p4 m
"TcpTimedWaitDelay"=dword:0000001e& ^5 @$ w2 T; F* k% h
6 R: ~' m% ]- s( f% \) X
8、如何避免*mdb文件被下载% x$ x' F9 T5 p( Z
安装ms发布的urlscan工具,可以从根本上解决这个问题。% E8 h+ y/ _5 w+ z: X" R; c
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 ' @3 g% c1 K1 {9 E, e2 }
9、如何让iis的最小ntfs权限运行 % C9 k- H. G- M2 Y
依次做下面的工作: ) f5 {6 c# d9 p* L0 W) C) d; C1 R
a、选取整个硬盘: % k# G+ [' f) t0 G7 Q# |8 y W; s
system:完全控制
# U! v* B# x/ q6 p9 Z1 A y0 d9 i% wadministrator:完全控制
8 k; e) I- Z/ J$ l# N' |! r# Q(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
7 {4 s8 c' Q& c5 veveryone:读取及运行列出文件目录读取 8 D3 ?) y! Y- k' W' i( H
(允许将来自父系的可继承性权限传播给对象)
8 W4 v9 @9 \$ k0 F; ?, }c、/inetpub/wwwroot:
& v _ H9 d2 L8 v" U4 N8 h( tiusr_machine:读取及运行列出文件目录读取
- }7 V* e3 A* N7 U0 u9 c(允许将来自父系的可继承性权限传播给对象)! Y" c9 q" X4 s3 g) F
e、/winnt/system32:
8 e+ K5 }4 [5 |; s选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 $ [& M; |: N6 y" R$ y, Q Y
f、/winnt:
7 D p, O1 e7 Z2 j1 m选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 w! T1 J5 m; @. Y" i
g、/winnt:
) d- b9 A e6 M* Z4 _" Q6 D 6 x" `4 C- I3 W/ B# g
everyone:读取及运行列出文件目录读取. B3 p6 A" n8 K% l" c* \8 [
(允许将来自父系的可继承性权限传播给对象) % c3 n- H) M/ W5 T- ~2 j: I
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
; F! S+ d2 |$ d: U! P) aeveryone:修改
; G# d" V" q: j) v6 o: q(允许将来自父系的可继承性权限传播给对象)
" ^! M4 C6 u, ?- C( D! J+ a10、如何隐藏iis版本
8 `( `$ g$ S1 `- z p! n% \一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
9 X" T0 w& c& P' e. diis存放IIS BANNER的所对应的dll文件如下:
% ?: h, V: c4 `( z/ s7 b+ {) AWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ( |$ ~6 e$ Y! a1 g- \
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL- l, ^( |1 t0 z' M
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 8 v- I7 f' W6 h$ n
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 ! d2 z* I( z" f
具体过程如下:" J9 g1 p- y- W) m5 r
1、停掉iis iisreset /stop
, I' X3 Y" P+ L3 h$ N/ f2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
# p) H- {3 K# q0 M2 A2 M3、修改 |
|
发表于 2008-1-25 02:15
| 