IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

使用虚拟主机封杀webshell提权

2007年05月08日
赛迪网技术社区/hackmaster

  1.为了打造一个安全的虚拟主机,在asp+SQL环境下,我们要做的是封杀ASP webshell.封杀serv-u提权漏洞和SQL注入的威胁

  2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能 也就是不让webshell查看系统服务信息,执行cmd命令和略览文件目录,我们要实现的功能是每个用户只能访问自己的目录,而且可以用FSO等ASP组件,在这里我以海洋木马和win200为例给大家演示一下.好多资料都是网上收集而来,在这表示感谢.

  3.现在我们先设置好win的目录访问权限 设置所有分区为administrator SYSTEM这两个系统用户拥有所有权、删除ERVERYONE具体操作方式:选择系统盘我们这里为C->按右键选择属性-安全添加一个administrator和SYSTEM所有权限,删除ERVERYONE用户我已经都设置过了,就不重复了,设置权限的时候很慢,具体的看我下面的说明吧

4.选择重置所有子对象的权限并允许传播可继承权限具体操作方式:接第3步->选择高级->选择重置所有子对象的权限并允许传播可继承权限打钩选定按应用->提示是否继续选择‘是’继续,如果发现有提示问题就按继续按钮继续

5.设置everyone用户可以读取的目录(使得可以执行PERL ASP JMAIL)
[设置ASP可以使用]具体操作:进入C:\promgram files目录 把common files目录,设置everyone可以读、运行、列目录C:\Program Files\Common Files 都是一些系统文件,如果你装了一些别的组件,比如maill,php等 也按同样的设置,就是刚才那个目录,系统出了毛病,设置权限的时候十分慢

6.设置取消继承,功能:为了使用户不能越权删除而ASP可以正常使用具体操作方式:进入winnt\system32\选中所有目录,除了inetsrv certsrv 两个目录不要选择(备注:这两个是ASP要用的dll)
       选择属性->安全->高级->权限->把允许来自父系的继承取消打钩->按复制
       
       进入winnt目录->选中所有目录 除web, temp, tasks, system32 ,offine web pages ,
       iis temporay compressed file ,help,download promgram 同上取消继承->按复制

    选择winnt->设置安全,添加everyone 读取运行 列出文件目录 读取
   
    进入winnt->选择temp属性设置安全 ,everyone完全控制,再点高级,编辑,把运行权限去掉
动画断了,奇怪了
这样2000目录权限基本设置完成,2003的目录设置可以看最下面,我就是这么设置的,没出问题,有问题找我,看来还没设置好,终于好了,累啊
D盘看不见了吧.

  7.刚才动画断了,新建一个用户leilei,设置密码,要设置密码永不过期,把他加到guest用户组里去,然后在IIS设置他的虚拟站点,我这用的是默认站点,设置虚拟目录E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp,再点属性-目录安全性-编辑.匿名访问打上勾,然后设置用户名和密码,然后到E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp里设置权限,给leilei访问权.OK,现在告了一段落,leilei这个用户只能访问自己的目录了删掉不用的脚本映射.*.htr这是一个比较厉害的文件,删掉好了。否则,任何人都可以通过你的web来进行非法操作,甚至格式化 掉你的硬盘。 *.hta 删掉吧。 *.idc 所以删掉他。 *.printer这个是打印机文件。去掉他好了 *.htw , *.ida *.idq这些都是索引文件,可以去掉了。 其实只要有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!:)
我们来看一下网站
 怎么样,FSO正常使用吧

  8. 这里有时候会遇见ASP不能访问,提示The requested resource is in use和The remote procedure call failed and did not execute.
  我就遇见了,找了找网上的帖子,有的说御载瑞星2005,再同步iwam帐号,同步同步iwam帐号请看  http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=361.有的说是asp.net没有权限执行,还有的说在2003下,添加IIS_WPG  组,并重启计算机。方正我是同步了一下iwam帐号,然后还是没搞定,又瞎鼓捣了半天,准备从装机器前从起了一下,然后发现,好了~,如果你  遇见了这个问题,而且没搞定的话,可以到我论坛里发个帖说一下,我和你一起研究,反正我是无业游民,电脑前面做了半年了.随时都在,急就  端消息我,有声音提示的.


  9.现在我们上个webshell看看,先看我们刚才设置的目录权限的效果,效果不错,现在我们堵上webshell的cmd ,有两种cmdshell WScript.Shell和Shell.Application,关于这两个组件的基础知识可以看看这篇文章
http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=395
  这里有两种方法 一种是设置权限把c:\winnt\system32\cmd.exe 的权限设置好,(sorry 我把mdshell WScript.Shell和Shell.Application已经删了,现在注册上),只能administrator和系统用户访问的权限,这个时候cmd是不能用了,不过我们平时都是上传一个cmd在用,看演示看,现在又能用了吧,我在别人的主机上也经常遇见这个现象,不过我们还是有办法.再把E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp的运行权限去掉,拒绝访问。 缺少对象,不影响网站使用fso吧,还有一一种就是彻底删掉WScript.Shell和Shell.application ,命令是regsvr32/u wshom.ocx和regsvr32/u wshext.dll,我们先恢复权限.还是缺少对象吧,两个都行,都是实验通过的,我比较喜欢第二种,反正不影响我使用.再去试下网站,没有问题

  10.封杀webshell 查看系统进程的功能,对我的电脑点右键-管理-服务应用程序-服务-workstation,双击点停止,禁用.这个服务在倒数第二个Workstation”——svchost.exe——是用来管理网络,支持联网和打印/文件共享的,禁用了也没事,参考文章
 http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=400
 http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=402
 http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=403
 错误: 错误源: 这好象是因为删除wshom.ocx和wshext.dll的原因,不管他,我们继续,现在是可以看系统进程的还有登陆用户,现在我们禁用服务去,要从起,进程才会没的,算了,我不从起了,反正不会有问题的了,已经什么也看不见了

  11.封杀serv-u和SQL,这也是抄来的,因为serv-u和sql都是系统权限,也就是system用户,我们的目的就是把他俩变成user用户,让他俩没权限添加administrator的帐号,这里我用serv-u演示,ftp "net user leilei3 leilei3 /add" 成功添加了leilei2帐号,输入法出问题了,估计大家也都知道,serv-u本地提权漏洞,解决方法,先添加一个user权限的用户,我这就用leilei3这个用户了,然后对对我的电脑点右键-管理-服务应用程序-服务-Serv-U FTP 服务器-登陆-此帐户,把默认的改掉,现在就可以了,来我们再试一下serv-u能不能用.无法启动,晕到,还是权限的问题,有人做过这个动画,没问题的.
动画下载http://www.gamepa.com/Announce/Announce.asp?BoardID=7890&ID=355
权限设一下就OK了,SQL也是这样的设置,不过权限要设置好,因为sql要访问的目录很多,没操作权限就不能用了,建议要改user权限运行SQL的时候别用我上面讲的目录权限分配方法,而是根据最下面的win2003目录权限设置做参考,一点一点的改win的目录权限,或者给user用户多点权限,这个我用不上,也没研究,还那句话,如果有哪位朋友需要,我们一起研究

  12.经过这样的设置基本安全了吧,如果高手能提供点意见,指出不安全的地方,不胜感激

13.第一次做动画,不知道做的怎么样,有不周的地方,见谅.还有大家最好别黑别人的机器,己所不欲,勿施于人.一切都是为了学习,还有就是我希望大家做动画的时候尽量的兼顾说一下原理,授人以鱼,不如授人以渔,如果太长了,给个链接也好啊.

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点