亚洲免费在线-亚洲免费在线播放-亚洲免费在线观看-亚洲免费在线观看视频-亚洲免费在线看-亚洲免费在线视频

設置NTFS權限以避免通過webshell遍歷主機目錄

系統 1879 0

測試環境:Windows 2003 + IIS6.0 + Access數據庫

現在大家做論壇一般都用動網論壇,但動網論壇如果一旦管理員權限被獲得的話,會威脅到web主機的安全。關于如何通過動網得到webshell,請參閱我轉的一篇文章《動網論壇7.0獲得WebShell的分析(轉)》 http://blog.csdn.net/starlee1738/archive/2005/01/15/254849.aspx ,我通過此法成功上傳了ASP站長助手和ASP 探針(上傳海陽頂端木馬無法運行,因為沒權限),但由于主機NTFS權限設置得當,我只能瀏覽/修改web目錄中的內容,而無法遍歷其他目錄,也就無法發現其他可利用的漏洞,如果各位有什么好方法,還請賜教!

運行上傳的asp助手,在瀏覽其他分區的時候提示“路徑未找到”,用asp探針查看發現是因為對分區沒有讀取權限。

設置NTFS權限以避免通過webshell遍歷主機目錄

我們知道,匿名訪問web使用系統中的“IUSR_主機名”這個用戶,只要限制了這個用戶的讀取權限,即能限制訪問者遍歷服務器目錄,保護服務器數據不被非法訪問。

操作步驟:

1. 我的電腦,磁盤安全屬性。
2. 首先刪除Everyone組。一般在服務器上看見Everyone就要刪。
3. 添加IUSR_Hostname用戶,對其設置“拒絕讀取和運行”權限。如圖。

設置NTFS權限以避免通過webshell遍歷主機目錄

4. 應用。會出現提示,不用理會。
5. 設置完成。

這是非web站點分區的NTFS設置,對存放web站點的分區還要進行額外的設置才可以正常訪問。否則在訪問網站的時候因為沒有運行權限而無法瀏覽。

假設我的網站放在F:/www下。在按照上述五個步驟設置完F區的NTFS權限后,要進行下面步驟的設置:

1. 進入www目錄安全屬性。這時可以看到IUSR_hostname這個用戶的權限設置為拒絕讀取和運行,并且checkbox是灰的,無法修改。
2. 點高級,把下面允許繼承的checkbox的勾勾掉,在彈出的提示中選“復制”。

設置NTFS權限以避免通過webshell遍歷主機目錄

3. 確定。這時你可以看到剛才不可修改的checkbox現在都可以修改了。
4. 更改IUSR_hostname用戶權限,改為只允許“讀取”。
5. 確定。

至此,所有分區的NTFS設置都已完成。

這時你再把asp探針和asp助手上傳到服務器上運行,就會收到權限不足的提示了。


對C盤設置的權限不自動繼承,需要對每個文件夾再進行設置拒絕訪問權限。Program Files、Documents and Settings和Inetpub這幾個文件夾一定要設置。

Windows或Winnt目錄一定不要這樣設置,否則在運行asp程序時:(動網除外,原因未知。)

如果用ODBC連接的Access數據庫,那么會報錯:

Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80004005'
[Microsoft][ODBC Microsoft Access Driver]常見錯誤 不能打開注冊表關鍵字 'Temporary (volatile) Jet DSN for process 0x1844 Thread 0x1b40 DBC 0x554cc59c Jet'。

如果用OLEDB連接的Acess數據庫,會報錯:未指定錯誤。

Windows或Winnt目錄的設置如圖:“列出文件夾/讀取數據”這個不要設置拒絕。

設置NTFS權限以避免通過webshell遍歷主機目錄

對Windows或Winnt目錄這樣設置后,用asp助手還是可以瀏覽到目錄的內容,但沒有權限打開其中的文件瀏覽。


對C盤設置的權限不自動繼承,需要對每個文件夾再進行設置拒絕訪問權限。Program Files、Documents and Settings和Inetpub這幾個文件夾一定要設置。

Windows或Winnt目錄一定不要這樣設置,否則在運行asp程序時:(動網除外,原因未知。)

如果用ODBC連接的Access數據庫,那么會報錯:

Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80004005'
[Microsoft][ODBC Microsoft Access Driver]常見錯誤 不能打開注冊表關鍵字 'Temporary (volatile) Jet DSN for process 0x1844 Thread 0x1b40 DBC 0x554cc59c Jet'。

如果用OLEDB連接的Acess數據庫,會報錯:未指定錯誤。

Windows或Winnt目錄的設置如圖:“列出文件夾/讀取數據”這個不要設置拒絕。

設置NTFS權限以避免通過webshell遍歷主機目錄

對Windows或Winnt目錄這樣設置后,用asp助手還是可以瀏覽到目錄的內容,但沒有權限打開其中的文件瀏覽。



另外,如果服務器硬盤這樣設置,能用什么方法進一步得到主機權限,還請賜教!!


此文僅是給大家提供一個保護服務器數據的思路,請根據自己的需要進行設置。 有不對的地方希望大家指出!

ASP探針: http://www.itlearner.com/aspcheck/
ASP助手6.0: http://www.gxgl.com/?action=soft&module=show&id=4

設置NTFS權限以避免通過webshell遍歷主機目錄


更多文章、技術交流、商務合作、聯系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號聯系: 360901061

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對您有幫助就好】

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長會非常 感謝您的哦!!!

發表我的評論
最新評論 總共0條評論
主站蜘蛛池模板: 大学生久久香蕉国产线看观看 | 香蕉视频亚洲一级 | 老司机成人午夜精品福利视频 | 中国性猛交xxxx乱大交 | 日日摸天天摸狠狠摸视频 | 久久精品综合免费观看 | www.不卡视频| 久青草免费视频手机在线观看 | 久久亚洲精品成人综合 | 久久影院一区二区三区 | 91在线免费视频 | 国产精品视频专区 | 亚洲综合一区二区精品久久 | 99热精品在线免费观看 | 亚洲人成激情在线播放 | 伊人国产在线播放 | 亚洲欧美精品综合中文字幕 | 亚洲黄色在线视频 | 99视频一区 | 国产99视频精品免费视频7 | 日本大片久久久高清免费看 | 福利姬在线视频国产观看 | 国产精品亚洲高清一区二区 | 最新毛片久热97免费精品视频 | 国产凹凸在线一区二区色老头 | 91青娱国产 | 99热久久国产这里是精品 | 亚洲综合无码一区二区 | 午夜骚 | 日本aaaa | 久久精品久久精品久久精品 | 中文字幕在线免费看 | 看免费一级片 | 成人亚洲欧美日韩在线观看 | 99香蕉国产 | 久久精品国产免费一区 | 一级毛片免费毛片一级毛片免费 | 亚洲精品美女久久久久99 | 操白嫩美女 | 欧美激情久久欧美激情 | 国产成人aa视频在线观看 |