|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14247
- 金币
- 2414
- 威望
- 1647
- 贡献
- 1362
|
1、如何让asp脚本以system权限运行
- u, L# N/ Q% N) N修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
3 z, C- z& ^; k/ N q8 p2、如何防止asp木马 * t, X0 w G% @8 f6 s Z! C
基于FileSystemObject组件的asp木马
+ ?6 d$ E# i/ T9 i9 V9 F, o- ~; Jcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
- B4 }% w) V; p% P- u3 Jregsvr32 scrrun.dll /u /s //删除6 @* X# F* H& n ^1 V6 {: J. _. ?
基于shell.application组件的asp木马/ P0 E- ?* A; \8 q/ p
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 % }: M0 s) T% i* ~
regsvr32 shell32.dll /u /s //删除 " c& H& ?) z1 Y7 j S
3、如何加密asp文件 8 t% P$ s1 v: h% C- @
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
7 _ K9 F8 _0 u& b安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。+ _2 j4 S1 ]3 W0 `
运行screnc - l vbscript source.asp destination.asp
/ Z q! v4 ?' k" k* ]+ x& \生成包含密文ASP脚本的新文件destination.asp
2 G& {8 Q2 A! _. S% H+ d用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
+ m: ^5 y4 t6 y' k/ K& j但无法加密中文。
2 ?. x$ s( x2 b0 D# U4、如何从IISLockdown中提取urlscan
! m& G8 d9 N& `: Y- jiislockd.exe /q /c /t:c:/urlscan
( n5 B% b) E4 D0 _- l5、如何防止Content-Location标头暴露了web服务器的内部IP地址 $ e% G7 d3 c7 j7 k$ @) u
执行
4 Z% x8 |9 T0 I, G Pcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 6 G) z O8 u, }' c* ~
最后需要重新启动iis
% V% Z: J. ]" d- a& H6、如何解决HTTP500内部错误/ E& x) s E1 m; C# u. Z4 d
iis http500内部错误大部分原因1 X9 A! ~# d9 C. l5 ] X, I1 z
主要是由于iwam账号的密码不同步造成的。5 G- V: D0 I$ b
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。& D2 T$ X- r) B3 V9 t9 m' g
执行
3 s2 w x# E {7 L. p/ gcscript c:/inetpub/adminscripts/synciwam.vbs -v
8 L. k" Y. B, m& U7 Q7、如何增强iis防御SYN Flood的能力. l% y9 v" f3 g/ P; U. n' e' P O
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ' D; r5 Q5 C( ]& T+ Z
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
) Y: {3 b/ w3 D" k"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。; s# F% W. E/ Y/ M6 e3 u8 }
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050* f& ~8 s* I( e7 V$ [
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
" l p _( j+ ~. c h' U项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。' |% Z' S- ?+ h
微软站点安全推荐为2。
z" T2 W; I3 q7 M. d# i4 o2 ^$ } b"TcpMaxConnectResponseRetransmissions"=dword:00000001
+ `! V0 n4 H) W0 ~设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
8 q; O. M1 I& \% ^: p+ p"TcpMaxDataRetransmissions"=dword:00000003+ ]! g% U5 g" f* I8 R r
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。. S% f1 N! {+ a3 P) }8 k
"TCPMaxPortsExhausted"=dword:00000005 ( p8 B* P) ?" M; {; l
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
. R" N6 h, s+ w. b6 K"DisableIPSourceRouting"=dword:00000027 |1 R6 A" e1 ^; g; L. x% c
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。0 g; ~) T3 {6 N- k* T( F0 G: a5 Y
"TcpTimedWaitDelay"=dword:0000001e
2 ^6 g3 Y5 w2 m y* O" k1 D3 n: B0 _& J1 V8 p" u
8、如何避免*mdb文件被下载
/ `$ \, }. c1 S/ V2 @6 {- |! R安装ms发布的urlscan工具,可以从根本上解决这个问题。' E: |- y6 ^6 R5 g' y
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 3 s# J. [$ r1 \5 v
9、如何让iis的最小ntfs权限运行
+ Y* C1 f) L2 ^依次做下面的工作:
. _# h& ?9 ^ F7 b0 E5 za、选取整个硬盘: " _5 p6 o0 P1 A- Q0 @
system:完全控制
1 A. |3 \! B1 n3 y: T m; tadministrator:完全控制- W- H& {0 n- \" |
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
( e+ a: ~/ W- j1 heveryone:读取及运行列出文件目录读取
9 K" S8 u% w: |/ f( d(允许将来自父系的可继承性权限传播给对象) 2 ?! T' V n- |" |& }9 m
c、/inetpub/wwwroot: 5 z4 f7 |! F- E. E5 e8 |" G3 f
iusr_machine:读取及运行列出文件目录读取
! n+ S5 @, N; Y$ @(允许将来自父系的可继承性权限传播给对象) z+ d! s/ d* @
e、/winnt/system32:
) R$ B, W+ B; V# r+ o a: R& R选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
2 d' y f, Z* B* ~$ M' ?f、/winnt:
% N& N$ s, T; [& B4 X; U选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
& O$ p% f- u) K/ a( ?4 {g、/winnt: S# _/ g0 r1 Y& Q
9 X7 V& L2 C: G
everyone:读取及运行列出文件目录读取
) C/ G. g* S1 y- C& s(允许将来自父系的可继承性权限传播给对象)
& O: o& c* F1 D" z( w; z+ eh、/winnt/temp:(允许访问数据库并显示在asp页面上)
* W: M8 I( Q5 {) V9 deveryone:修改
2 F9 r' m/ J1 Y+ }% i/ D) n4 K(允许将来自父系的可继承性权限传播给对象)* M! X: o) M/ ^6 @
10、如何隐藏iis版本
) w" M/ @/ k" W! E一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
0 R1 W3 J* l& a6 f; h+ z$ {. liis存放IIS BANNER的所对应的dll文件如下:
* a0 w: q5 c& y) uWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL " E- b/ k2 [; E4 |% t/ O) G, j
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL/ T% i6 T/ f O' P. P8 @1 q0 x
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
8 {( Z. ^1 u* Z4 b你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
1 E9 D+ u! m" w" O v! c具体过程如下:; O9 V+ l9 }! g# l, \
1、停掉iis iisreset /stop + I& O8 i' z- K: t4 z+ e
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
' r( t, e J6 k( N) p3、修改 |
|
发表于 2008-1-25 02:15
| 