|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14221
- 金币
- 2401
- 威望
- 1647
- 贡献
- 1349
|
1、如何让asp脚本以system权限运行
2 R; I. v8 v0 [7 V修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
$ o5 @/ \6 W' E2、如何防止asp木马 ( H; `2 N5 A2 x9 H$ ?# _6 Y4 A: }
基于FileSystemObject组件的asp木马
" `4 R9 X. G7 ]9 ?+ M5 Fcacls %systemroot%/system32/scrrun.dll /e /d guests //禁止guests使用; }: j! A+ H) o9 @5 }
regsvr32 scrrun.dll /u /s //删除- k( F, k2 Q3 j. s' Q- Y
基于shell.application组件的asp木马
9 E, S% A2 }* Y* _+ }& {! @cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests使用 5 v& Y! v8 {) z6 Z" e! @
regsvr32 shell32.dll /u /s //删除
# ^! r, G `7 V1 g1 w3、如何加密asp文件
9 q. R( y4 B. x1 @从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
+ @0 t: q( h [7 U9 }9 ]安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
+ R' p# I8 j& `2 A; }8 C) ]运行screnc - l vbscript source.asp destination.asp
* j5 S; A7 J1 z5 J( i1 v$ t" K) k生成包含密文ASP脚本的新文件destination.asp7 N! v5 W1 O! m5 V% _! g; \. R7 R
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
) ~8 v3 s. r! q$ E& m但无法加密中文。
0 j6 U9 v9 g4 |* m" S4、如何从IISLockdown中提取urlscan T" g. v+ C' y7 R( e; V' p" |
iislockd.exe /q /c /t:c:/urlscan
6 [" R0 G8 m& j( V5、如何防止Content-Location标头暴露了web服务器的内部IP地址 * m& @! W* b0 o
执行
3 ~0 M4 S% |' O* ocscript c:/inetpub/adminscripts/adsutil.vbs set w3svc/UseHostName True
. U8 s; P7 ?7 G. |# i6 Q最后需要重新启动iis 7 S5 x" b1 s. d+ v
6、如何解决HTTP500内部错误9 e+ T; n6 \6 |8 E! M
iis http500内部错误大部分原因
9 H# B: z) ?/ A8 k! m主要是由于iwam账号的密码不同步造成的。
# c0 j" c9 M' d/ K我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
5 I/ y2 k. }4 i: m执行
! G7 l0 t0 \% L' @ s* J7 u- Ucscript c:/inetpub/adminscripts/synciwam.vbs -v
0 S" u4 O5 ~- L: V7、如何增强iis防御SYN Flood的能力
4 O4 s5 Q$ ~ {, ZWindows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] ) L/ z e x: I
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 W- E$ J2 P" n"SynAttackProtect"=dword:00000002 同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。6 I" v$ k* w( u7 \' }* d! x
"TcpMaxHalfOpen"=dword:00000064 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050
/ y9 @7 _1 e/ u9 X设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
$ k) ^( u8 r, o9 x项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
$ l8 w+ e. y2 ]" H! X1 z% l微软站点安全推荐为2。, S# }5 n/ O) a3 Z- m+ E
"TcpMaxConnectResponseRetransmissions"=dword:00000001 : e+ s# N) T* C) h# c7 f
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
0 f& }% Q- ^+ Y0 N7 i"TcpMaxDataRetransmissions"=dword:00000003 m' e" Z {9 H) A3 s( L4 I* X- W
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
) J2 v* Q4 t0 e"TCPMaxPortsExhausted"=dword:00000005 0 k: t7 H) P& C' a
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。 7 C2 M/ |& C/ G% J
"DisableIPSourceRouting"=dword:0000002
* i( c$ c" w1 `% P/ Z& {. h* A限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
0 C# e5 k7 b" X$ }8 T"TcpTimedWaitDelay"=dword:0000001e& i1 m7 U! n. g% Y# u
' {, Z4 n$ j6 C" U m3 I7 U' R' B8、如何避免*mdb文件被下载 R! c! N+ G1 b# ?# [ ?' B
安装ms发布的urlscan工具,可以从根本上解决这个问题。- j6 L$ i) `4 M% S. D M
同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。 5 l, v ?0 u0 F* G W" l' ^& J
9、如何让iis的最小ntfs权限运行 c+ W* g) s) n" X' E6 U
依次做下面的工作:
P! ]" b$ A1 ]% ]1 y$ Ga、选取整个硬盘:
. ?( s9 B" Q- y: Nsystem:完全控制
5 d# E9 H- A$ b8 Badministrator:完全控制+ m% q1 P0 r/ h6 H
(允许将来自父系的可继承性权限传播给对象) b、/program files/common files:
, L" j8 X8 Q( p2 F3 |/ Ueveryone:读取及运行列出文件目录读取 0 K; k9 x/ X6 V
(允许将来自父系的可继承性权限传播给对象) 5 X5 V1 P, \0 x6 G
c、/inetpub/wwwroot: / @2 \& [' D( y4 l& a
iusr_machine:读取及运行列出文件目录读取
6 d& m- Z6 I6 e& l(允许将来自父系的可继承性权限传播给对象)! C4 L9 a3 [, J, r3 c
e、/winnt/system32:4 H& I$ x% K+ D% Z/ Y d
选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
4 O+ d7 W; s3 y& C( \f、/winnt:
+ ], H4 H {7 F/ S选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框,复制。* w* C' X$ f9 G" { |; N
g、/winnt:
# Q2 i- p3 w3 r; ~6 o! J & m/ H- C* C) [
everyone:读取及运行列出文件目录读取7 v+ I0 u/ U/ p- S$ h) ~5 g, y
(允许将来自父系的可继承性权限传播给对象) 1 y8 c. o! ^$ I
h、/winnt/temp:(允许访问数据库并显示在asp页面上) 1 v' m8 X% D/ j
everyone:修改 # {! r/ ^" X7 I! `+ k
(允许将来自父系的可继承性权限传播给对象)
9 M! z8 a# h. L2 p' w8 H3 N+ q10、如何隐藏iis版本
" ?) H+ j% d3 ^4 w7 `0 Q一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
8 j. B/ U" I* E8 {* c# o, J. v: oiis存放IIS BANNER的所对应的dll文件如下:
+ W9 p* W# E$ X* a8 aWEB:C:/WINNT/SYSTEM32/INETSRV/W3SVC.DLL
- z# M1 v+ n# r/ G P2 g8 gFTP:C:/WINNT/SYSTEM32/INETSRV/FTPSVC2.DLL
; w0 D8 P7 ]* _- C8 r, {- MSMTP:C:/WINNT/SYSTEM32/INETSRV/SMTPSVC.DLL
& V6 ~/ y, I# [: L5 y; j$ [你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 4 W9 l8 A# ?6 O5 M
具体过程如下:. ^! Y& t* }- s: U& e ?
1、停掉iis iisreset /stop ( @4 p% \& B- [- n& |
2、删除%SYSTEMROOT%/system32/dllcache目录下的同名文件
! {2 s, {+ {% R0 U- M3、修改 |
|
发表于 2008-1-25 02:15
| 