|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行
! h9 B h% G' _* o+ S$ r+ @; D, [修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... % _" A% e# I% U r2 m5 m/ T: @: V% ~) {
2、如何防止asp木马 ! b& W+ I K! W; ]) T) v- U1 i
基于FileSystemObject组件的asp木马 $ L+ F, y o% Q1 ?5 T* x% ]3 `3 ] Z* ]; R
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用1 S. ~+ ?% x0 N5 H
regsvr32 scrrun.dll /u /s //删除% y* t$ u1 f; X; }
基于shell.application组件的asp木马
2 _& Z6 I0 u0 E+ Z1 X/ Vcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
3 j; Q* g& ` j2 \: Wregsvr32 shell32.dll /u /s //删除
; t& z6 T) K% w6 ]3、如何加密asp文件
4 o( t3 O3 c( y9 X, p从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 2 I9 G3 [. e$ Y, J; E
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。2 @3 z8 m$ k: B9 f0 }% g' q
运行screnc - l vbscript source.asp destination.asp
3 C4 g: E0 K/ G6 i6 w生成包含密文ASP脚本的新文件destination.asp6 Y' \7 e0 O, }- M* _% W
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 b0 F! N. i0 c" P
但无法加密中文。1 Z' a7 c7 c6 I2 q% L+ S0 r& b
4、如何从IISLockdown中提取urlscan
0 X2 x7 P* K! i7 |iislockd.exe /q /c /t:c:/urlscan
2 q7 i$ _! u$ ^" Y) y7 G$ {5、如何防止Content-Location标头暴露了web服务器的内部IP地址 ' r. N; u; o7 Q( s$ O
执行
`9 @0 r5 ?) s9 {$ Dcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 4 C! Z+ V- _ w$ ~/ I; [
最后需要重新启动iis
/ ]9 ~! h5 w# |1 T& q5 H& j6、如何解决HTTP500内部错误
" {8 F( H$ H# Jiis http500内部错误大部分原因4 c3 U% G" o, U) L, p) w
主要是由于iwam账号的密码不同步造成的。6 Y! a) B% y0 t$ n
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。' @/ ~5 n( O' P8 d, b- S' k) f
执行 3 [: E2 p3 Z0 \) Q) e$ [/ M& w
cscript c:/inetpub/adminscripts/synciwam.vbs -v% O8 {, t# X: t$ H5 V5 k
7、如何增强iis防御SYN Flood的能力
" Y$ }# o4 y; F8 `Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] + S' O( p- }8 j+ ]
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。 s/ N) H7 T! C' C# d+ h4 \5 Q
"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
u8 p+ _3 A# D$ c; o3 D"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050 i' ^9 } Z7 u& I& A% J
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 / E6 [% o8 e1 ~! _
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。2 n' K% k/ {4 ^/ K
微软站点安全推荐为2。
4 e& u ?. h7 m/ V1 X"TcpMaxConnectResponseRetransmissions"=dword:00000001
: o0 i& @# ~3 T r4 a设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 - a8 X7 l% V1 |9 m- b
"TcpMaxDataRetransmissions"=dword:000000032 F/ \1 d+ t2 Q* o: F
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
5 u. X: v s/ B+ m9 q" X"TCPMaxPortsExhausted"=dword:00000005 ' S; i0 h3 a4 G; R6 x8 J9 q
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 8 A; N7 G8 C/ F. G1 S6 N8 J1 p
"DisableIPSourceRouting"=dword:0000002
( \1 b3 S% M `' M/ B: Q0 F限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
8 T, M+ b- a/ a8 D* ["TcpTimedWaitDelay"=dword:0000001e3 q) J2 A9 K+ T
: H2 r6 n' u( a1 S
8、如何避免*mdb文件被下载6 ?' H% _8 R) i: r
安装ms发布的urlscan工具,可以从根本上解决这个问题。* n, v: Q2 C. S. |" s. S% \) l
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
( |+ ?, E0 ?0 S3 q# p8 {* z& Y9、如何让iis的最小ntfs权限运行 ; }- D* | n! X. c# U! |
依次做下面的工作: & b) s- U; s9 I. W
a、选取整个硬盘: ! t z, d: x1 r! H
system:完全控制- H" ~1 R: M2 T# k7 Z8 F
administrator:完全控制
" I# _ c6 s9 \- D+ i(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 4 f+ c' a; ? k9 S. }5 D3 m$ z
everyone:读取及运行列出文件目录读取 6 @& a, `/ z3 i3 p0 U
(允许将来自父系的可继承性权限传播给对象)
' b5 @+ [0 Y0 W+ }# Z% U4 ?8 q+ Pc、/inetpub/wwwroot:
0 a$ \5 H9 P; O' Q! {$ ciusr_machine:读取及运行列出文件目录读取
9 ]( {5 ]5 ]( h5 _2 }- i# O. @, m(允许将来自父系的可继承性权限传播给对象)! i5 {8 p0 W) j$ E$ C# d( ?! b& k
e、/winnt/system32:% W( r. X- x( E5 _) _) t( ?
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 * D0 A3 z; Q; V
f、/winnt: " `$ g9 l6 `5 D
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。6 _: ~6 R9 l/ e% e0 Y: W8 b
g、/winnt:
" K0 Y* t2 G/ v" q9 a- g
% o3 o0 i9 ?8 ?everyone:读取及运行列出文件目录读取" S* l; T& C4 e6 [* Z7 n
(允许将来自父系的可继承性权限传播给对象)
0 J2 @$ o D: Yh、/winnt/temp:(允许访问数据库并显示在asp页面上) 5 E; e; M+ v; Z( L2 o
everyone:修改 ( z7 @9 O7 d1 S+ |( D
(允许将来自父系的可继承性权限传播给对象)
5 ?0 E+ g; B+ j8 s( f10、如何隐藏iis版本 # z8 t. ?; ~9 |; b6 c7 A
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 " y! r: |% `6 f- g6 d
iis存放IIS BANNER的所对应的dll文件如下:" o5 @( x6 d7 \. A0 x
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL " D3 a( K0 v' `. S9 ~
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
) Y- ?1 g; s: z3 V8 c* e% I2 q. xSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
6 b2 k/ q, F0 a& `! D8 \! j0 p, e你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 6 |2 R$ V8 x4 _' B# Q" x
具体过程如下:9 k$ C& U8 P' o' e9 \8 {
1、停掉iis iisreset /stop : j" U- U1 K& F* M% B
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
# j' l: o) z+ l/ n0 h: E0 x3、修改 |
|
发表于 2008-1-25 02:15
| 