|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14341
- 金币
- 2456
- 威望
- 1647
- 贡献
- 1404
|
1、如何让asp脚本以system权限运行
( {/ _0 k% A6 \9 k, ]" U0 q# O9 ^" w修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ; t$ L/ n( e- s. d6 U; M( [
2、如何防止asp木马 ; w, p) e. ^' x- v) |
基于FileSystemObject组件的asp木马 9 M" u1 f0 m8 d) @/ D0 s
cacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用
+ O9 H% D9 B, C& g, v2 B* Rregsvr32 scrrun.dll /u /s //删除
( m& o4 }% K+ K8 }8 Z) R基于shell.application组件的asp木马
" |/ h$ l0 q n+ M8 zcacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 ; Q0 L$ Y) I7 b+ Z' X6 z- w5 F. |
regsvr32 shell32.dll /u /s //删除 % ~: @) V2 t9 U* k- |' `, a1 v6 F
3、如何加密asp文件 ! B1 {/ l5 a6 ^' h6 k
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
( h/ P, `+ E" f$ a$ j安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
" {" V% M* k9 @ ~! A) P* }9 s运行screnc - l vbscript source.asp destination.asp: o5 N+ \) n6 `* ], f$ l
生成包含密文ASP脚本的新文件destination.asp
9 G6 Q7 a/ H$ a+ R8 r用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
, ?* A% [6 g# i* U; R, g2 j" w但无法加密中文。$ {( A+ g/ ?2 ]4 X T3 a
4、如何从IISLockdown中提取urlscan
, C8 l) v& g2 e+ diislockd.exe /q /c /t:c:/urlscan
3 _# D9 e7 R+ D8 B# |5、如何防止Content-Location标头暴露了web服务器的内部IP地址
4 i& X1 i) K: g. S% B# d( i执行
7 _3 T( j0 F- J- N0 f$ Kcscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True 3 Z1 @, } V9 _% E8 r) I9 T: d9 N
最后需要重新启动iis + h- F% D$ W9 \$ \6 h
6、如何解决HTTP500内部错误5 ?: |* a& P& l; z' |5 F
iis http500内部错误大部分原因
( B& ?1 H/ A; O6 N0 O# h主要是由于iwam账号的密码不同步造成的。
4 q; }2 q, G! L8 u' I- ~我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。$ |4 v" Q& i6 |. P
执行 % O% n# s# P, M
cscript c:/inetpub/adminscripts/synciwam.vbs -v5 v: W% h+ ~6 J) U4 x5 z- V
7、如何增强iis防御SYN Flood的能力9 t: H6 ?) r4 P# t0 I" c8 B. L
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
6 N' \( T- |; X启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
* H* N! U- K% o! k; w"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。2 ]5 O- p- a7 h: d# ]
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
& j5 J0 m& e2 B设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 , T4 `, x/ c5 E, n0 ?0 c& F
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。" @9 E/ u5 H' y
微软站点安全推荐为2。& d" D. `- u: T7 Q! `9 q
"TcpMaxConnectResponseRetransmissions"=dword:00000001
) o: `4 {3 l7 @$ {7 ?- p7 j设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。 2 ?( [! T0 |3 p4 j& E
"TcpMaxDataRetransmissions"=dword:00000003/ w, g: V! S) a4 r/ J9 v
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。% M& I( \1 V1 z& A) V, T
"TCPMaxPortsExhausted"=dword:00000005 $ O# K. P$ V3 C2 k- Z- ~, w4 P' [
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 3 R4 `9 P1 N% g2 ~0 x: o: P
"DisableIPSourceRouting"=dword:0000002
6 \& l8 d$ m% w- r6 @7 P, d限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
7 w. E) H9 ~- j9 D. J"TcpTimedWaitDelay"=dword:0000001e
# l! s5 W5 h& _* d9 M3 D
" o5 N5 j: ?8 S! T5 L9 p8 r: I8、如何避免*mdb文件被下载2 K& @; d- k4 K
安装ms发布的urlscan工具,可以从根本上解决这个问题。
7 ~/ t0 l: O' A/ f& {" H6 E; O同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
, c3 [) V0 i; Y7 j9、如何让iis的最小ntfs权限运行 - u2 \) l& h" O# y
依次做下面的工作:
0 B; K5 h2 x! \# W- Qa、选取整个硬盘:
* `* D( p$ y! e1 H" ksystem:完全控制
& m. B; N0 A/ M5 T" P3 jadministrator:完全控制, E$ e: L2 G \6 S n3 p/ D+ u
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
: C+ X, x: o; B0 A/ {8 C; A Keveryone:读取及运行列出文件目录读取
! [( k' C& Z8 Y5 o2 v(允许将来自父系的可继承性权限传播给对象)
' F5 {. P8 q$ A$ Oc、/inetpub/wwwroot: ( Y8 p4 T5 f: [. C: @+ j
iusr_machine:读取及运行列出文件目录读取
7 P; H" T+ d H2 F(允许将来自父系的可继承性权限传播给对象)+ h$ K! a$ B$ S1 K B4 }+ r
e、/winnt/system32:# d8 J5 L1 j, H( \& \
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
* x+ U$ I. O+ [f、/winnt: 3 G: \9 L8 l' u1 k0 N/ q" g
选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
$ `+ d+ V: J% q$ m2 D- c" Y; ~g、/winnt:
% P. x2 q. l! T m, ]& s+ h % R& h3 j6 Z* M( s1 W- L
everyone:读取及运行列出文件目录读取: ^+ n S- v/ l2 L, O
(允许将来自父系的可继承性权限传播给对象)
) w7 L% z1 r2 P& z5 }0 oh、/winnt/temp:(允许访问数据库并显示在asp页面上) 3 s" y, S# Q5 D9 J/ U
everyone:修改 7 ]3 w+ W) |. R0 B, v* G. V) w
(允许将来自父系的可继承性权限传播给对象)$ g) |" p. U7 D" [, g% M: s4 ?
10、如何隐藏iis版本
$ \* T2 @2 D5 a2 \一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
x6 C7 |: P eiis存放IIS BANNER的所对应的dll文件如下:
: F9 f _1 G2 L4 E, k; U5 R8 TWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL % {* `% M# J5 {5 i1 c) ]
FTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL6 d+ o3 z! I: g& a* j9 d4 V" z
SMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
# J' Y0 h6 U, F你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
# Z/ ]/ l' e3 H3 a6 q具体过程如下:. a' }2 Q5 s Y8 T2 X
1、停掉iis iisreset /stop ! C' {. d2 `* R
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件6 U5 t+ H! _( d4 a: y# R9 a
3、修改 |
|
发表于 2008-1-25 02:15
| 