|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14389
- 金币
- 2480
- 威望
- 1647
- 贡献
- 1428
|
1、如何让asp脚本以system权限运行
0 W' `/ ?/ R: ]! q+ Z修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
9 u% @5 N9 @ M1 I9 ~2、如何防止asp木马
! z. T1 m; ?3 A) [3 o基于FileSystemObject组件的asp木马
5 f9 S: X! u2 [+ K$ \6 bcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
6 Y' V* G3 T. N! S$ b/ i. c/ Z' t+ H4 yregsvr32 scrrun.dll /u /s //删除- B! n- B7 e5 J; Y1 }6 a$ n
基于shell.application组件的asp木马: C7 A' h2 f% S
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用
# N+ N9 m2 g6 L3 y+ l8 c8 ~) Z9 P* qregsvr32 shell32.dll /u /s //删除
! T' T& u* I! j! G* o3、如何加密asp文件
$ `5 I" X/ K! z4 N/ s从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 # b+ k) @; d1 o8 R, X' X* v4 R( j# |
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。6 M @: ?9 X# h$ F: X
运行screnc - l vbscript source.asp destination.asp
2 Q/ h) e% L* P% \ L( t. W3 A5 k生成包含密文ASP脚本的新文件destination.asp& @4 j) n4 W+ O6 ~" v# l- F$ |
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
" r' y1 e% D0 @9 v/ ?0 }9 u但无法加密中文。
4 h( e0 p3 g2 F E9 R+ i4、如何从IISLockdown中提取urlscan 2 G1 v( z8 [. y& F3 `
iislockd.exe /q /c /t:c:/urlscan
8 p4 t( l! o% i# ?( `! o5、如何防止Content-Location标头暴露了web服务器的内部IP地址
/ q" K$ U2 S$ `1 v9 M执行
4 `/ g2 ?& m8 w9 w1 K) D! T1 ~cscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True : u- }9 S) K9 h; H0 }: z
最后需要重新启动iis
5 G: B! f3 W! f" O! P6、如何解决HTTP500内部错误 G/ {+ X% _: \& S( ]2 A
iis http500内部错误大部分原因
/ Q! Q; y$ |# \1 o主要是由于iwam账号的密码不同步造成的。
+ V0 S- x. ?& {" u+ E3 f! F) `1 h我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。% \$ E" s5 u' Z! H" f' o5 K# `7 |8 s
执行 7 z! i& ]" a3 n
cscript c:/inetpub/adminscripts/synciwam.vbs -v
$ h' v2 R( N" x I1 ~7、如何增强iis防御SYN Flood的能力
! X+ `1 e" n6 V: E# OWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
+ K3 E% O6 e# l9 F; D9 k: O, c启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
3 L# u3 i; M5 K1 Q! W. n) j"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
6 W( _7 {6 W1 y% F4 z"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
' C2 J% T8 V2 a8 @, e; [3 j设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 9 r8 E7 X2 i0 g( m% @ g$ p( s, M
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。5 w0 |3 ^( \, A/ v
微软站点安全推荐为2。3 l. } G3 N1 s6 _" ?" X) L# O& w3 J
"TcpMaxConnectResponseRetransmissions"=dword:00000001
7 `4 k9 z( r& Y U/ }3 F设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 3 g/ T0 L f" ]7 l1 ~/ ~& I
"TcpMaxDataRetransmissions"=dword:00000003; f2 V5 s$ {: s5 ]7 {- ~: c
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。* E' k& |3 C. @
"TCPMaxPortsExhausted"=dword:00000005 , S2 a) r3 A P& [+ y" c) u
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
% r' n& F. X1 d% W"DisableIPSourceRouting"=dword:00000026 ]5 u) u4 L" P1 {) ^' h, r
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
: L* S4 N! O5 G"TcpTimedWaitDelay"=dword:0000001e
. }% Y2 E% \3 n+ l# H+ d6 ` o1 T% w/ x
8、如何避免*mdb文件被下载9 T! h1 G( @6 [" j- |" I% ]
安装ms发布的urlscan工具,可以从根本上解决这个问题。
( b, j S4 O5 D# Q# d# f6 R# N- y同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 $ p; S: p# U' Z0 c5 ~
9、如何让iis的最小ntfs权限运行 # [* a$ C6 P7 ~; ?2 r3 w0 D. ?; `
依次做下面的工作:
" A; \. y1 k% I* S/ Ia、选取整个硬盘:
: o/ F7 _) z a) O8 d7 csystem:完全控制, U" T$ K6 ^, l% {7 X: w7 h1 f" A
administrator:完全控制
3 `6 Q( K3 n. L- l$ O: R; K! ](允许将来自父系的可继承性权限传播给对象) b、/program files/common files: $ D4 G7 K3 M" w
everyone:读取及运行列出文件目录读取 % M1 P+ r, e7 }. R) M
(允许将来自父系的可继承性权限传播给对象) 4 u Z9 T5 {7 K/ L8 O+ i$ L- I
c、/inetpub/wwwroot: $ ^+ G M' I. l5 f- x
iusr_machine:读取及运行列出文件目录读取; L9 @1 v8 L" ?7 a G- G# S
(允许将来自父系的可继承性权限传播给对象)4 h# w& ]3 m4 h& E( f. V7 f
e、/winnt/system32:6 q" f4 H3 I# h, H
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
: R3 b4 g5 o) U0 d- gf、/winnt: 3 P f- L* g8 p0 \; Z
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
' Z* I: u: n; F$ ~9 g9 }8 ]g、/winnt:
8 Y+ T6 v8 n5 `3 Z. { ^( a/ M : Q c! q# T( f
everyone:读取及运行列出文件目录读取
8 b2 r9 ~5 c. X* p/ F(允许将来自父系的可继承性权限传播给对象) 7 X* T' Q: ]4 h* p/ F0 c' m4 s8 k4 b( {
h、/winnt/temp:(允许访问数据库并显示在asp页面上)
: l0 `. }& } t1 M0 G+ }8 |everyone:修改
: b1 q! d) S! N/ v(允许将来自父系的可继承性权限传播给对象)) h, |: \7 P1 _5 G% P. o
10、如何隐藏iis版本 ! F- V( X# Y3 O. w! y! t0 o
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
' ~+ A! h) ?4 g9 D) E9 F& ^+ H- Giis存放IIS BANNER的所对应的dll文件如下:
. C$ p) o+ l# c! k# W, j7 BWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL % J. O. O" w9 Q! w7 d3 V5 I0 H) D
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
: g4 N4 T* o) _6 U; PSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL / U! S/ c( k8 \& h8 k8 y- k
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 $ V _, ~. x. T6 y( ~3 A
具体过程如下:
/ L& y( |5 [6 F1、停掉iis iisreset /stop + P/ x$ O/ |8 c. S! o; k' k6 k
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
; G* \! x* z; f; S* V5 ^3、修改 |
|
发表于 2008-1-25 02:15
| 