|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14191
- 金币
- 2386
- 威望
- 1647
- 贡献
- 1334
|
1、如何让asp脚本以system权限运行
3 O- O6 L3 ?. o( |6 m. K0 T修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 7 x7 t/ t( T+ |( }7 L" V
2、如何防止asp木马 8 N) \9 Z& K/ X' j( b5 u2 [& S s
基于FileSystemObject组件的asp木马 7 x2 z- S- d. f; t$ a6 _
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用" i) m! |0 x) F5 z) g
regsvr32 scrrun.dll /u /s //删除0 L) u3 h4 _8 g0 S4 a2 v& r
基于shell.application组件的asp木马2 q' @+ I, T5 d7 l# B6 t
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
* U" c+ }6 D& h3 p( Oregsvr32 shell32.dll /u /s //删除 3 |* L; j0 t6 P: \
3、如何加密asp文件 9 k* K2 U( x/ ?/ {
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 # b8 B2 c+ q* P, [& N! r
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
* D5 U9 W& `3 } O( u7 |0 i$ r+ x运行screnc - l vbscript source.asp destination.asp
* q* k& L3 T9 J" ?2 Z2 v' O4 v3 z生成包含密文ASP脚本的新文件destination.asp
$ v2 k7 |% Q2 ~% s) q$ V) i* V用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
* x" X }% ?/ {& ^2 ~, S但无法加密中文。
8 ^1 k$ O7 r: _1 d: g9 l4、如何从IISLockdown中提取urlscan
/ q8 r& M; B/ D/ r' ~iislockd.exe /q /c /t:c:/urlscan
3 } _5 J2 b; W- I: d3 W1 e5、如何防止Content-Location标头暴露了web服务器的内部IP地址 , ?5 ? P F; e, f3 W4 m7 y3 i
执行 ' Q4 ^- v* U9 s x0 E
cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
. q1 f$ n: B1 q& e最后需要重新启动iis : f$ q3 }! B$ H8 H9 c8 M
6、如何解决HTTP500内部错误
2 Q. H0 H) w Yiis http500内部错误大部分原因# a3 K+ R5 B' \
主要是由于iwam账号的密码不同步造成的。
6 ~8 I* p1 } y5 e! A我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
4 x, y; m7 V+ }7 R# v2 ~+ o, `0 s执行 " I! g8 y0 x5 Z% P0 w( Q1 J
cscript c:/inetpub/adminscripts/synciwam.vbs -v) ~) `8 h' d f% P* i
7、如何增强iis防御SYN Flood的能力; I5 x3 t4 Y& z9 ]2 v
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
. E H3 L* d! r$ f1 X3 \, o' w启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
; c6 R+ t# a, O' Y9 P! o8 I4 d8 f"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。6 N* m( ~6 [5 P6 P9 q& t
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
2 c# l" S' R& J! y2 C设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
: k9 c) X; O" j3 |8 m# L t% m$ a. [项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
, z* J0 M, }2 d$ \微软站点安全推荐为2。5 l: c) T2 n+ Q' O
"TcpMaxConnectResponseRetransmissions"=dword:00000001
/ ^3 w5 U( E* [设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 k8 q& ~- B1 N9 K
"TcpMaxDataRetransmissions"=dword:00000003
8 r8 j( |* {+ z' f- x设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
$ B4 D; A$ e: [! i2 n* T8 h"TCPMaxPortsExhausted"=dword:00000005
: U f W, K% K5 j6 T* F+ i禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
: t2 t4 @7 M$ \; l"DisableIPSourceRouting"=dword:0000002" a* d | H/ M3 x, o9 R1 t1 ~
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
; e3 P& | I5 N& G& Q$ n, J"TcpTimedWaitDelay"=dword:0000001e5 K8 w& p7 b8 s
/ O+ ?/ q/ b+ C8、如何避免*mdb文件被下载
8 t, }1 Y# K5 H: s( i7 u2 D安装ms发布的urlscan工具,可以从根本上解决这个问题。
) f- T4 s% s" w% W同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
: \# p( ] S' q/ t6 E9、如何让iis的最小ntfs权限运行 % z! S) d( T4 `2 l" h
依次做下面的工作: 2 Y: a S( R2 P* I( A% x
a、选取整个硬盘:
0 u. C8 e8 G/ U5 j9 Psystem:完全控制
; c6 h" j& \0 s+ sadministrator:完全控制# y, m; S5 d& L
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files: 8 i9 i7 P7 b" c( @5 |
everyone:读取及运行列出文件目录读取
* U7 x* W& z: p$ H0 O(允许将来自父系的可继承性权限传播给对象)
2 }! ~# K0 y0 t+ l& Ec、/inetpub/wwwroot: ; \5 w+ @6 u7 q; {* W( _: L# n
iusr_machine:读取及运行列出文件目录读取$ o) m: ]9 w) z9 A2 v5 y' I
(允许将来自父系的可继承性权限传播给对象)
) L+ a% g% {" Le、/winnt/system32:+ y& d" ]6 i* E% x+ s
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 9 j. M w! M8 S
f、/winnt:
+ |/ W, G& i6 p选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。% U$ ~* e! R/ b7 F2 R: w
g、/winnt:
`1 a7 ?; E' J# Z4 ?+ W
3 i3 W9 v: i0 L- R) c5 X4 Weveryone:读取及运行列出文件目录读取
( B; k# j$ V$ @! M$ x+ F; D(允许将来自父系的可继承性权限传播给对象) # c6 Z1 |- h) J
h、/winnt/temp:(允许访问数据库并显示在asp页面上) & C$ `2 s q% m1 Y: O
everyone:修改
0 a1 _/ Y# F8 Y9 o3 o% B* H; w3 N(允许将来自父系的可继承性权限传播给对象)
# e$ t3 U8 p+ ~2 f6 a( z: i4 \10、如何隐藏iis版本 & K0 L" c8 o. s q0 X+ A
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 / T2 s7 Q4 {, Z. y, W- x' z- L6 |
iis存放IIS BANNER的所对应的dll文件如下:! O0 ~, Z; R' F8 P
WEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL " L4 t G* b; [, f
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL- [) O, J* N) U$ m' L. \
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL $ J6 m. v/ [8 @) q+ @
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
# U! N* l+ i# w具体过程如下:
( J0 @6 q [) O$ c, ~1、停掉iis iisreset /stop
- m& v# T! V4 n+ N9 Z2 |5 E2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
( U) b0 i J! w9 w' M9 M3、修改 |
|
发表于 2008-1-25 02:15
| 