|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行
* y1 t6 Y# w7 K4 M" o1 f" C修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
, ^. u1 |0 |0 p) C: U( J" ~2、如何防止asp木马 # R8 Q! {4 ]$ J' d/ Y, ?
基于FileSystemObject组件的asp木马 - Y& c" G& ]; \ V& D9 U7 I
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用0 o) [8 z5 @$ K
regsvr32 scrrun.dll /u /s //删除
5 G& n; U2 P: F/ O4 l' b基于shell.application组件的asp木马
( s+ Y) |' G$ mcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
! }$ B6 c) F+ ?. y6 W9 bregsvr32 shell32.dll /u /s //删除
8 r! ?, I8 j7 f* }8 C6 P3 c1 L3、如何加密asp文件 ! U1 @4 f- q! c" h2 j2 d
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
1 U" A" t3 D0 ?7 B6 |安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
6 q W7 f2 J' A$ C' @ r8 w运行screnc - l vbscript source.asp destination.asp
/ h* z. _& \7 F. g4 W( E生成包含密文ASP脚本的新文件destination.asp! X1 t. g, j# ?
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
, b7 x! X" q8 D0 u7 j但无法加密中文。$ ?5 k1 ?( d' I; P4 U
4、如何从IISLockdown中提取urlscan & E( j. L: p" x$ C, [' V8 g; |
iislockd.exe /q /c /t:c:/urlscan
' t$ Y1 Q1 J8 X1 {5、如何防止Content-Location标头暴露了web服务器的内部IP地址 . i3 ?, G& E/ D5 V7 `0 ?' m
执行
. {- \! w- V& O; i; p! ]$ E& Bcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
7 S( E; w: _" q' H; q最后需要重新启动iis ; l% z/ E+ M4 ~
6、如何解决HTTP500内部错误
3 Y0 K: l4 X+ k, R! w; K6 xiis http500内部错误大部分原因
8 b% D2 Z: Z' W! F主要是由于iwam账号的密码不同步造成的。4 [. c( ?1 h/ r( L& U; { B2 J1 M
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
5 A' f" [1 v4 t, d# O6 X执行 7 p/ w1 _1 e8 W+ M2 o
cscript c:/inetpub/adminscripts/synciwam.vbs -v
/ E! d* D2 v. J# B' @; @" S7、如何增强iis防御SYN Flood的能力
; S0 ^ d3 ]" b/ J9 JWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
s% ~1 j5 t& c( q0 {1 W, j, d$ m启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
8 o9 U$ z7 q# Q8 V& {5 c"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
. {! y6 C, r# k$ u3 _% a. N8 L"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050% G' B9 V6 `9 U) l7 o% ~; ?
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 [% S1 V' C/ c A0 B1 I
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。' Y& u: @: d4 {# y0 L
微软站点安全推荐为2。' w# T3 v) b6 C- p- B6 T
"TcpMaxConnectResponseRetransmissions"=dword:00000001
6 F5 U; M1 Q% q3 a" @) g& E设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 {$ f C% V6 a' `- k+ L, y C5 ]
"TcpMaxDataRetransmissions"=dword:000000031 n1 `; _ b5 N
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
* e3 Z: A+ s7 a* z0 E"TCPMaxPortsExhausted"=dword:00000005 % N9 |- v0 n. l3 G
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
( n* v$ w7 B( z. c# s"DisableIPSourceRouting"=dword:00000028 Z' j$ C% q/ b
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。" o' x% X. r% b2 ~; T/ f
"TcpTimedWaitDelay"=dword:0000001e; K& A; X' a6 e% K% H% M- u6 h
0 {. Z3 v$ f$ ]# L0 L& {4 d
8、如何避免*mdb文件被下载5 o& c! E. d# I! v
安装ms发布的urlscan工具,可以从根本上解决这个问题。
h+ V; L7 L8 L! ]. D9 i+ Q5 } R同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 h" Y' Z) S$ o7 C" a+ q
9、如何让iis的最小ntfs权限运行 4 A, R$ P. g/ ]
依次做下面的工作: 8 j7 r* z2 L9 B1 v% j2 }2 j, H
a、选取整个硬盘: 4 y" u( ~ V! o. f5 T. z) X' i
system:完全控制9 V P# h8 E% X2 ~
administrator:完全控制8 J" z9 Q6 \; C1 x
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 5 a3 u1 S g% A6 L+ D6 F. F6 r
everyone:读取及运行列出文件目录读取 $ |" Y$ E: h R* W0 E
(允许将来自父系的可继承性权限传播给对象)
. z5 F: M4 T: n. @$ R- N( t" o: fc、/inetpub/wwwroot:
% L( i6 s3 Y8 Biusr_machine:读取及运行列出文件目录读取- u; g/ p0 s/ K2 l, x3 r$ w. b
(允许将来自父系的可继承性权限传播给对象)4 F- f& N8 u+ V' ?
e、/winnt/system32:
3 U; @+ [5 ]! ^7 r$ a! @选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 2 I1 ? G! F s1 }8 U9 \" X
f、/winnt:
& ]8 c8 c V0 H- r1 C, M+ c选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。+ ?0 o8 y& A% y7 {5 ]
g、/winnt:& }2 i5 L8 _( M, W& a5 A
( X* }6 C- q' W7 _ O+ @. |9 b
everyone:读取及运行列出文件目录读取
, ]* ]) H# _. \* u/ f' d/ ~( p(允许将来自父系的可继承性权限传播给对象)
* B% [: A( }5 n5 I! q. y5 Sh、/winnt/temp:(允许访问数据库并显示在asp页面上)
5 k/ L$ s/ z7 C3 H( Y5 W% G% eeveryone:修改 0 `7 ?) ^* Q% m6 D
(允许将来自父系的可继承性权限传播给对象)* ]6 e4 ~5 U+ e. @* o* I8 ?
10、如何隐藏iis版本
# Z' |3 ]) C' K1 d4 A' ~' b* a一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
/ X1 L( J( r$ b Oiis存放IIS BANNER的所对应的dll文件如下:2 z, n% u/ U- V8 w; L
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL : h. S- t' Z. A0 G
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
. M& j: A }/ c6 d( PSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL # C5 E4 v5 y; y2 D1 l7 C. r
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
' g. X0 E1 m: c1 w8 C" ]3 a$ r具体过程如下:
: R$ L% V& k) i1、停掉iis iisreset /stop ' `. }) C( A4 S5 X5 i* ^7 c' t! F4 F
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件" }" J) R& A2 z* ]1 A, E, C6 D8 l
3、修改 |
|
发表于 2008-1-25 02:15
| 