|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行
0 r% O& h4 y/ Z! R修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 3 |2 j d$ a7 r. d4 M A/ C0 H
2、如何防止asp木马 4 K* Q6 l5 z3 j" M- |2 G; ^
基于FileSystemObject组件的asp木马 : B" V9 g0 Z6 V' t) v( J
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用8 B8 P9 q3 p) t3 U! P- q$ g
regsvr32 scrrun.dll /u /s //删除
* L! O0 M# x) d/ Q; i( V基于shell.application组件的asp木马8 v. f% C1 c+ }2 g+ z! ^- W( [
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
1 ?* {( j/ @2 P, j3 @3 }, q, uregsvr32 shell32.dll /u /s //删除 2 D. f" v3 K( s. g/ N5 ~
3、如何加密asp文件
4 x) A; @& Y8 ]' \& M从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 : D& r: U/ ^) u! y2 ?
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。. t7 B( J' h8 `7 V0 r4 P
运行screnc - l vbscript source.asp destination.asp
& ~) j ^& O( e1 b; E+ ^ H: R生成包含密文ASP脚本的新文件destination.asp! I, Q, W5 {/ ^# e8 A
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
+ @/ |, S3 b0 i但无法加密中文。" \1 [: r+ \; z7 p
4、如何从IISLockdown中提取urlscan + x) V" N3 u9 p9 p1 P4 j6 J1 t
iislockd.exe /q /c /t:c:/urlscan
+ n- V& N+ w% F* E! n, ~. f0 U: N5、如何防止Content-Location标头暴露了web服务器的内部IP地址 8 p9 J3 ?! U5 p4 R7 G0 V9 c+ s4 h" |
执行 ' i, @2 q+ T6 g% V- L: U
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
4 p( m. s6 u; y7 r0 K1 @2 K最后需要重新启动iis
/ B6 V4 c( k6 v. k) \* S4 l6、如何解决HTTP500内部错误
) d: p! a+ u% c* w8 r& v2 v6 iiis http500内部错误大部分原因
: I0 G# Y: y; g- z% ~( @主要是由于iwam账号的密码不同步造成的。
4 Q: ~+ e) y+ ?. a8 c0 k我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
G+ B4 u5 L/ Y) C执行
, x+ t3 {: ~. Kcscript c:/inetpub/adminscripts/synciwam.vbs -v% l2 \4 O( n- s8 Q
7、如何增强iis防御SYN Flood的能力9 U) |, X% W, A/ d; ^) L7 h
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
7 x* o" S3 b( u$ r; }, l2 |% F: H- d启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
9 _% q5 e, q! Q; r m, u"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。- c- p% k% H5 y) q% P, Y
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:000000503 n7 n+ S8 \0 G$ x
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
6 {, w7 o$ v; n, \* j& i' r# z项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
8 S& o8 u4 w# I* C) x( ~微软站点安全推荐为2。
0 v- d1 b$ A$ C9 J& J"TcpMaxConnectResponseRetransmissions"=dword:00000001
8 _4 g2 V! T# p7 m( s设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
, Y: ^2 X# u3 O1 s9 {' F$ j9 P"TcpMaxDataRetransmissions"=dword:00000003( m' S& [+ X0 |* j+ q
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
/ {9 B( O6 v$ P& z0 {8 `; k1 c"TCPMaxPortsExhausted"=dword:00000005
) y( V# M7 p/ Q禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
9 C0 N/ p3 k6 w1 R* e( I9 D"DisableIPSourceRouting"=dword:0000002
& m1 P3 s0 T- U5 ^7 u限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
' v3 t6 K4 j4 }& X# y9 Y"TcpTimedWaitDelay"=dword:0000001e/ e. g- T+ x3 o- u
+ f2 Z: r' R3 k$ w* J4 x8、如何避免*mdb文件被下载' ?: Z/ I/ `% `' A3 }# k. k- a' [( Z& P
安装ms发布的urlscan工具,可以从根本上解决这个问题。
5 U7 ?0 Q8 [' @$ Q同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
9 p" j! @# w8 e# }. X, Z9、如何让iis的最小ntfs权限运行 7 }8 K& t) D4 V- V7 Y& Y
依次做下面的工作: 3 b# K/ A1 |( o6 i: b1 k
a、选取整个硬盘: 2 S4 D% K1 n4 s0 o+ c* |; f
system:完全控制
5 t: H. I9 V( B: y+ Cadministrator:完全控制 Y4 m, n( ?! R) e+ p7 f: |6 I5 p
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: / f, h( R9 x6 F, S: Y' D
everyone:读取及运行列出文件目录读取 ' t: r3 M9 T0 Z9 F
(允许将来自父系的可继承性权限传播给对象) / M* _% [% ^$ l" r1 T+ D( K
c、/inetpub/wwwroot: % Y9 r9 y/ o$ W0 m' y1 H1 X
iusr_machine:读取及运行列出文件目录读取
9 U- }) z0 F! e0 U) B1 J1 f) y Y(允许将来自父系的可继承性权限传播给对象)
4 _. m) O2 p1 a$ K) I# X& Ae、/winnt/system32:
4 m5 j# }) G# ^( [: g选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 : v6 k" [' r3 L5 }% A
f、/winnt:
* C* ?4 `+ U5 r& i选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
, c2 v2 n- i7 m0 G; d& n& m0 m' Eg、/winnt:
) h! R4 ~; M2 X6 b3 |
0 Y% h1 v) Z- }5 qeveryone:读取及运行列出文件目录读取
4 j3 H& l& y8 k q8 Z(允许将来自父系的可继承性权限传播给对象)
o O8 f& K6 h( K5 i+ @7 o/ Rh、/winnt/temp:(允许访问数据库并显示在asp页面上)
/ V% h- H9 P8 Q3 [3 zeveryone:修改 ! s A A6 H. E' _
(允许将来自父系的可继承性权限传播给对象)
' D( V" h1 f: l3 Z7 R% q E10、如何隐藏iis版本
+ h# A Q+ Z" X# z一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 ' o8 c, T( }9 H9 {4 W4 N4 @
iis存放IIS BANNER的所对应的dll文件如下:
: K: K( J4 ]5 W9 O2 l" f: u/ b" qWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL ! h; j; r# P3 Y) K
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL- v- E8 G0 G2 k
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
H ~5 Q3 @+ c; ~! ]# x+ F你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 # g0 x+ X4 j: G
具体过程如下:
0 }' Z ~7 I P9 P' v/ u1 I1、停掉iis iisreset /stop 8 ]( z% P9 O% Z+ A( o* F7 t( T
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
# B+ ]7 _+ n* ?. W" y3、修改 |
|
发表于 2008-1-25 02:15
| 