|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14171
- 金币
- 2376
- 威望
- 1647
- 贡献
- 1324
|
1、如何让asp脚本以system权限运行" }/ G3 ~6 e1 D( q& @
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
0 ~/ B* x- _2 {6 x# P3 ~2、如何防止asp木马 $ m/ ^# `. \2 G2 O
基于FileSystemObject组件的asp木马
, S. \' m* O1 v* t( A ~) z2 R5 Icacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用5 [' j4 U; Z, e1 Z: g7 }* u6 y0 {
regsvr32 scrrun.dll /u /s //删除& c5 I0 }' z* V
基于shell.application组件的asp木马
/ i1 L: o$ q0 z0 H3 V% z( acacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
( W* T8 z7 K8 H6 `# I" d3 cregsvr32 shell32.dll /u /s //删除
. E6 b# B: E. B+ C' @. U4 n8 X3、如何加密asp文件
9 x6 D: D3 q0 s2 P从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
) k$ ?5 k) d9 p: ]9 M安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。9 Q$ M! D2 ~4 a2 _! I# S
运行screnc - l vbscript source.asp destination.asp
% q3 R( x: [0 T0 n3 l' _* Z生成包含密文ASP脚本的新文件destination.asp
; g! w8 N0 p4 ?用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
9 t1 c6 ^6 z( ?1 c, N% l但无法加密中文。- M7 m" y$ I0 h) V& p
4、如何从IISLockdown中提取urlscan ' o) w5 T5 a) |! R9 `7 {
iislockd.exe /q /c /t:c:/urlscan8 c' z# C) l, }) k' u. u) D
5、如何防止Content-Location标头暴露了web服务器的内部IP地址 8 o8 M! P/ O: g9 t
执行
n2 a- [, @, e* F" w% ?* H: K( f2 H# ycscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 2 B3 v" f- h& I z; \* W
最后需要重新启动iis
4 S/ ^* ~. b+ e2 m0 j3 y2 P. l6、如何解决HTTP500内部错误9 M3 P' N4 J6 H1 V Y. P
iis http500内部错误大部分原因
0 ~0 u. [9 q8 t% t2 Q主要是由于iwam账号的密码不同步造成的。9 I. m% s: ~2 d* B" h: ~5 I
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
) }' M: l1 N9 C; ^8 q% S执行
. R' s0 J6 J$ y0 Dcscript c:/inetpub/adminscripts/synciwam.vbs -v
9 x* G9 H N, q/ f7、如何增强iis防御SYN Flood的能力
1 \6 A- o o6 C1 DWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] / v7 t' T8 e) _* `
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。- p9 w8 N# g8 U
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。0 V6 w: \6 f, z" R/ {; b. v
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
?6 N/ M; y! e. r2 Y设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
1 P! Z5 @' Q% n5 n, I项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。0 j8 \! ?$ F8 v% O
微软站点安全推荐为2。
. i6 h) N6 Z+ l/ {) V: e"TcpMaxConnectResponseRetransmissions"=dword:00000001 1 T% d- T+ J# J* k0 l) w4 q( p1 K7 E. D
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
3 E. T7 F/ i a* S/ B"TcpMaxDataRetransmissions"=dword:00000003
( A) ]& i8 o# r* P, i) f设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。2 n6 s. g( I; O& O
"TCPMaxPortsExhausted"=dword:00000005 Y* m% R8 M; _( l( F2 g8 h' b# D
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
_0 K: c4 x2 R/ ["DisableIPSourceRouting"=dword:0000002$ O$ p+ N! \1 D2 F
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
" `9 I8 `9 D) E' ~) ^+ g"TcpTimedWaitDelay"=dword:0000001e" v2 [" u* c" S7 w0 F9 \
0 H" M7 E6 y6 `+ w1 @8、如何避免*mdb文件被下载* N# `4 w. V- W: t5 N
安装ms发布的urlscan工具,可以从根本上解决这个问题。
; _9 Z# _5 f' ]; W0 x9 i* G同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 4 U- ^9 r. g! p4 X; r
9、如何让iis的最小ntfs权限运行
( G' M3 X! A7 o* v: L依次做下面的工作: 9 f+ H7 w' P. A' V
a、选取整个硬盘:
! ^6 c) i$ W5 }% K9 ysystem:完全控制
6 @0 h0 Y% N( I: c- G' J: ~ Dadministrator:完全控制
& \* p1 ] M1 [8 n(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
; [9 U* s5 c2 l2 peveryone:读取及运行列出文件目录读取
7 n8 k/ b6 |8 ~(允许将来自父系的可继承性权限传播给对象)
" [6 p6 B8 p0 {! |/ r6 j$ ^2 ~c、/inetpub/wwwroot:
1 U+ z! O9 p4 r4 ziusr_machine:读取及运行列出文件目录读取5 x; \' Z5 c Y' r7 M0 n4 `
(允许将来自父系的可继承性权限传播给对象)* r& ]0 ]- ] B" `9 f- ?
e、/winnt/system32:
0 a& R: H! V+ i5 Q选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 - C8 W( O9 b s5 X2 i0 z! D, u# g5 z
f、/winnt:
' O! S; |, S, W2 Y: x) k% f选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。' c: N; {5 m' w# F7 j8 y1 b
g、/winnt:- v# g" R) f! R
- T4 q9 A! @- g/ {& Z4 H9 j5 a
everyone:读取及运行列出文件目录读取
6 S" b* T0 y% K(允许将来自父系的可继承性权限传播给对象) % Q. f: o% E/ Q' i# ~
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
: m8 S* }& J7 i5 W Jeveryone:修改
2 ?2 x: A8 j) p(允许将来自父系的可继承性权限传播给对象)
5 W6 j4 b" Q. g W10、如何隐藏iis版本
/ K F T( O. e; w, y" m/ Z7 j7 j一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
1 q6 B4 x3 X0 c, siis存放IIS BANNER的所对应的dll文件如下:
8 G5 C5 Z3 A" D! C5 AWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
4 h# ] m1 g; K- J( ?FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL. _& O' n5 T2 b) `
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL ( Q; k/ {: B7 R- g
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
4 z' |6 b; v' l$ D# i2 D6 g具体过程如下:8 Q. n& ^ s& ]( p- P* s y
1、停掉iis iisreset /stop ! u# s" R5 x! n+ Y( e+ k9 S+ y
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
7 O1 s; \2 w! B- E3、修改 |
|
发表于 2008-1-25 02:15
| 