黑色星空
欢迎你,注册进来让我们共同打造这片星空吧。。。。。。

by: niusan521

Join the forum, it's quick and easy

黑色星空
欢迎你,注册进来让我们共同打造这片星空吧。。。。。。

by: niusan521
黑色星空
Would you like to react to this message? Create an account in a few clicks or log in to continue.

转载的→封杀webshell提升权限

向下

转载的→封杀webshell提升权限 Empty 转载的→封杀webshell提升权限

帖子  Admin 周一 一月 09, 2012 10:28 am

1为了打造一个安全的虚拟主机,在asp sql环境下,我们要做的是封杀asp webshell.封杀serv-u提权漏洞和sql注入的威胁
2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能也就是不让webshell查看系统服务信息,执行cmd命令和略览文件目录,我们要实现的功能是每个用户只能访问自己的目录,而且可以用fso等asp组件,在这里我以海洋木马和win200为例给大家演示一下.好多资料都是网上收集而来,在这表示感谢.

3.现在我们先设置好win的目录访问权限 设置所有分区为administrator system这两个系统用户拥有所有权、删除erveryone

具体操作方式:选择系统盘我们这里为c->按右键选择属性-安全添加一个administrator和system所有权限,删除erveryone用户

 我已经都设置过了,就不重复了,设置权限的时候很慢,具体的看我下面的说明吧

4.选择重置所有子对象的权限并允许传播可继承权限

具体操作方式:接第3步->选择高级->选择重置所有子对象的权限并允许传播可继承权限打钩选定按应用->提示是否继续选择‘是’继续

       如果发现有提示问题就按继续按钮继续

5.设置everyone用户可以读取的目录(使得可以执行perl asp jmail)

[设置asp可以使用]具体操作:进入c:\promgram files目录 把common files目录,设置everyone可以读、运行、列目录

c:\program files\common files 都是一些系统文件,如果你装了一些别的组件,比如maill,php等 也按同样的设置

 就是刚才那个目录,系统出了毛病,设置权限的时候十分慢

6.设置取消继承,功能:为了使用户不能越权删除而asp可以正常使用

具体操作方式:进入winnt\system32\选中所有目录,除了inetsrv certsrv 两个目录不要选择(备注:这两个是asp要用的dll)

       选择属性->安全->高级->权限->把允许来自父系的继承取消打钩->按复制

       

       进入winnt目录->选中所有目录除web, temp, tasks, system32 ,offine web pages ,

       iis temporay compressed file ,help,download promgram 同上取消继承->按复制

    选择winnt->设置安全,添加everyone 读取运行列出文件目录 读取

   

    进入winnt->选择temp属性设置安全 ,everyone完全控制,再点高级,编辑,把运行权限去掉

动画断了,奇怪了

这样2000目录权限基本设置完成,2003的目录设置可以看最下面,我就是这么设置的,没出问题,有问题找我,看来还没设置好,终于好了,累啊

d盘看不见了吧.

7.刚才动画断了,新建一个用户leilei,设置密码,要设置密码永不过期,把他加到guest用户组里去,然后在iis设置他的虚拟站点,我这用的是默认站点,设置虚拟目录e:\网站资源\bbsxp 5.12 正式版 ]\bbsxp,再点属性-目录安全性-编辑.匿名访问打上勾,然后设置用户名和密码,然后到e:\网站资源\bbsxp 5.12 正式版 ]\bbsxp里设置权限,给leilei访问权.ok,现在告了一段落,leilei这个用户只能访问自己的目录了删掉不用的脚本映射.*.htr这是一个比较厉害的文件,删掉好了。否则,任何人都可以通过你的web来进行非法操作,甚至格式化掉你的硬盘。 *.hta 删掉吧。 *.idc 所以删掉他。 *.printer这个是打印机文件。去掉他好了 *.htw , *.ida *.idq这些都是索引文件,可以去掉了。其实只要有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!Smile

我们来看一下网站

 怎么样,fso正常使用吧

8. 这里有时候会遇见asp不能访问,提示the requested resource is in use和the remote procedure call failed and did not execute.

  我就遇见了,找了找网上的帖子,有的说御载瑞星2005,再同步iwam帐号,同步同步iwam帐号请看  http://www.gamepa.com/announce/announce.asp?boardid=8000&id=361.有的说是asp.net没有权限执行,还有的说在2003下,添加iis_wpg  组,并重启计算机。方正我是同步了一下iwam帐号,然后还是没搞定,又瞎鼓捣了半天,准备从装机器前从起了一下,然后发现,好了~,如果你  遇见了这个问题,而且没搞定的话,可以到我论坛里发个帖说一下,我和你一起研究,反正我是无业游民,电脑前面做了半年了.随时都在,急就  端消息我,有声音提示的.

9.现在我们上个webshell看看,先看我们刚才设置的目录权限的效果,效果不错,现在我们堵上webshell的cmd ,有两种cmdshell wscript.shell和shell.application,关于这两个组件的基础知识可以看看这篇文章

http://www.gamepa.com/announce/announce.asp?boardid=8000&id=395

  这里有两种方法 一种是设置权限把c:\winnt\system32\cmd.exe 的权限设置好,(sorry 我把mdshell wscript.shell和shell.application已经删了,现在注册上),只能administrator和系统用户访问的权限,这个时候cmd是不能用了,不过我们平时都是上传一个cmd在用,看演示看,现在又能用了吧,我在别人的主机上也经常遇见这个现象,不过我们还是有办法.再把e:\网站资源\bbsxp 5.12 正式版 ]\bbsxp的运行权限去掉,拒绝访问。缺少对象,不影响网站使用fso吧,还有一一种就是彻底删掉wscript.shell和shell.application ,命令是regsvr32/u wshom.ocx和regsvr32/u wshext.dll,我们先恢复权限.还是缺少对象吧,两个都行,都是实验通过的,我比较喜欢第二种,反正不影响我使用.再去试下网站,没有问题

10.封杀webshell 查看系统进程的功能,对我的电脑点右键-管理-服务应用程序-服务-workstation,双击点停止,禁用.这个服务在倒数第二个

 workstation”——svchost.exe——是用来管理网络,支持联网和打印/文件共享的,禁用了也没事,参考文章

 http://www.gamepa.com/announce/announce.asp?boardid=8000&id=400

 http://www.gamepa.com/announce/announce.asp?boardid=8000&id=402

 http://www.gamepa.com/announce/announce.asp?boardid=8000&id=403

 错误: 错误源: 这好象是因为删除wshom.ocx和wshext.dll的原因,不管他,我们继续,现在是可以看系统进程的还有登陆用户,现在我们禁用服务去,要从起,进程才会没的,算了,我不从起了,反正不会有问题的了,已经什么也看不见了

11.封杀serv-u和sql,这也是抄来的,因为serv-u和sql都是系统权限,也就是system用户,我们的目的就是把他俩变成user用户,让他俩没权限添加administrator的帐号,这里我用serv-u演示,ftp "net user leilei3 leilei3 /add" 成功添加了leilei2帐号,输入法出问题了,估计大家也都知道,serv-u本地提权漏洞,解决方法,先添加一个user权限的用户,我这就用leilei3这个用户了,然后对对我的电脑点右键-管理-服务应用程序-服务-serv-u ftp 服务器-登陆-此帐户,把默认的改掉,现在就可以了,来我们再试一下serv-u能不能用.无法启动,晕到,还是权限的问题,有人做过这个动画,没问题的.

动画下载http://www.gamepa.com/announce/announce.asp?boardid=7890&id=355

权限设一下就ok了,sql也是这样的设置,不过权限要设置好,因为sql要访问的目录很多,没操作权限就不能用了,建议要改user权限运行sql的时候别用我上面讲的目录权限分配方法,而是根据最下面的win2003目录权限设置做参考,一点一点的改win的目录权限,或者给user用户多点权限,这个我用不上,也没研究,还那句话,如果有哪位朋友需要,我们一起研究

12.经过这样的设置基本安全了吧,如果高手能提供点意见,指出不安全的地方,不胜感激



Admin
Admin

帖子数 : 13
注册日期 : 12-01-09

http://hei***ingkong.365luntan.org

返回页首 向下

返回页首


 
您在这个论坛的权限:
不能在这个论坛回复主题