|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14171
- 金币
- 2376
- 威望
- 1647
- 贡献
- 1324
|
1、如何让asp脚本以system权限运行
- e" E8 U/ |3 ~% l) B+ e# b修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
" U4 l+ q6 l" W2 o4 e2、如何防止asp木马 ' O# [1 f, X3 S: x e
基于FileSystemObject组件的asp木马 . j. ~, F# e7 s9 b# W# ~
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用3 ?, {! f$ P1 b3 ^! f6 O
regsvr32 scrrun.dll /u /s //删除) B, F2 W+ t/ }( k5 H. V; m
基于shell.application组件的asp木马
- C6 ]3 H. @3 t: a) U9 I# Fcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
8 F& n- G1 d; m% vregsvr32 shell32.dll /u /s //删除
/ o. ]: o# q( n' C/ _) Y3、如何加密asp文件 ^, M$ F5 L! m* R
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 8 x0 X" a, d7 N2 `( l
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
, \4 b# ~4 E$ ?( @$ C+ ] N运行screnc - l vbscript source.asp destination.asp. T: |- L& ]& w& F
生成包含密文ASP脚本的新文件destination.asp
1 @7 u9 _" b& R7 [" |( h用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
~8 J/ O, Q9 I但无法加密中文。
) h2 ~; t* ?/ X+ y# J+ C! D4、如何从IISLockdown中提取urlscan
R7 X3 ?" C* g- hiislockd.exe /q /c /t:c:/urlscan# c& u9 E+ ?* I
5、如何防止Content-Location标头暴露了web服务器的内部IP地址
3 G4 I3 X# f @7 S3 @2 A执行
! j/ J1 Q/ | p5 c: ?cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 2 j, e; w+ x+ G( ?
最后需要重新启动iis
8 `' X( x. B1 F- b% d/ k" f) J+ O% m6、如何解决HTTP500内部错误! G, K0 R: q; i5 j
iis http500内部错误大部分原因
$ Z9 B# j$ @1 U# j主要是由于iwam账号的密码不同步造成的。/ c& c% `% h- s) @9 J
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。- @5 I4 ?/ m. e z
执行 5 ?$ t8 b% [, M& ^5 Z: a2 P
cscript c:/inetpub/adminscripts/synciwam.vbs -v- U8 ^: z2 z, t8 T4 p
7、如何增强iis防御SYN Flood的能力. ~/ J# v1 o1 R, u, T" Q5 E6 x5 a
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
3 k% p+ p* Z3 }* ?; @. W/ i启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。6 f |& @* p4 `. t4 _: H! @
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
4 a$ w) W, } |2 R. P- ~"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
/ [: P3 q6 C+ I7 c5 U设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
6 ?) P1 l$ Q$ B, o项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。0 h2 c2 o, H& W; Y# I5 _
微软站点安全推荐为2。
2 I2 [$ ]7 p _7 m4 N5 b7 B/ S"TcpMaxConnectResponseRetransmissions"=dword:00000001
/ H) ]1 p, ]) o: [1 t D1 u/ [7 P设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 ) I- p8 g' u9 A, l7 M' G
"TcpMaxDataRetransmissions"=dword:00000003. l( Z, s' H6 `: T+ H, Z
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。+ l/ H0 g. T1 t+ m5 O# F8 }
"TCPMaxPortsExhausted"=dword:00000005 4 L0 o& O/ e7 E1 Y2 n% Y
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
@. g+ e* K s# }& s% ?"DisableIPSourceRouting"=dword:00000023 d+ V) f0 _, p& u
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。$ X1 w8 V/ I$ ?5 P! s- s
"TcpTimedWaitDelay"=dword:0000001e
1 G9 x% M- Q& a7 C$ S7 b
5 K2 a; L/ W8 N3 X# c5 T8、如何避免*mdb文件被下载( B8 G. N/ ]( v {. [5 \' W
安装ms发布的urlscan工具,可以从根本上解决这个问题。2 H/ m" G; M# m8 } S8 z9 V
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 / u+ @7 x' Q1 G1 y. t
9、如何让iis的最小ntfs权限运行 8 U% N$ |( F4 g0 h
依次做下面的工作:
. D. \/ A- Y" P1 m4 R! x8 [, G" n5 aa、选取整个硬盘: + ~- H' ~# ]8 i0 E0 K6 Y
system:完全控制
: T9 a+ c/ v5 W: f; T J, Wadministrator:完全控制- Z% _2 t3 `6 r& y, \
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 2 M; R2 E V4 x2 {9 X8 n
everyone:读取及运行列出文件目录读取 - [+ ~7 N7 L9 k
(允许将来自父系的可继承性权限传播给对象)
. X4 w: \* R4 e4 ~) P( S7 }3 ec、/inetpub/wwwroot:
/ w$ V+ V* p5 @) ]iusr_machine:读取及运行列出文件目录读取
, h. x2 C7 U( \! c, Q. J(允许将来自父系的可继承性权限传播给对象)) P) P5 t: I# h; o
e、/winnt/system32:
# T0 Q' g$ J. p9 v' Q选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
9 X# t9 z" ~# ^8 Pf、/winnt: 1 H: _" s9 w( `- F2 c& x9 x
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
; C& T2 ` H5 mg、/winnt:* K1 f5 X% \( Z5 l c1 E
6 G p( V5 w$ f; ~& _everyone:读取及运行列出文件目录读取
, A% q5 v1 u, C(允许将来自父系的可继承性权限传播给对象) - ]8 \% N( b: T# ^* n7 R1 b2 c2 j3 Q
h、/winnt/temp:(允许访问数据库并显示在asp页面上) / v5 h( j" u8 [; L3 }* T, c
everyone:修改 ' \( \6 i' A, g V) t _/ h C
(允许将来自父系的可继承性权限传播给对象)5 N- ^% D- x4 G
10、如何隐藏iis版本 & g) g; G7 K+ v- N+ D& [) H# V) Z
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ( {0 @* u% ~9 Z# ]' W) |' Q3 L
iis存放IIS BANNER的所对应的dll文件如下:4 V& u( d C, q
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL / ^$ y7 r6 s# ~! ~2 a w- c* L- v
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL: P2 M, r, m z% R3 C& e
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL 5 ]/ @2 r$ }+ [6 [1 a o8 s# T
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
2 [3 t; h8 F% e5 V; W5 x具体过程如下:; a6 P; J6 j* f! X
1、停掉iis iisreset /stop + P7 C! ]8 j# v$ D( q
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
. f- b; W6 ?! U G' `: M3、修改 |
|
发表于 2008-1-25 02:15
| 