HTTP/1.1 500 Server Error 重新注册jscript.dll就可以了

安装序列号：JB88F-WT2Q3-DPXTT-Y8GHG-7YYQY

在运行里输入"regedit"打开注册表编辑器找到以下键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current Version\WPAEvents

随便修改OOBETimer所对应的一堆字符

然后在运行里直接输入 "oobe/msoobe /a"

选择电话激活，点击换号(change product id.)更换成以下ID

然后重启。

JCGMJ-TC669-KCBG7-HB8X2-FXG7M
JCFGR-D492G-76JRT-CV6TX-2HV3Y
JB9BJ-X39X4-8H34W-66QKR-48WYB
JCFGR-D492G-76JRT-CV6TX-2HV3Y
JB9BJ-X39X4-8H34W-66QKR-48WYB

4月16号复活节

永远难忘的一天！

昨天晚上，我做了基督教的决志祷告。感谢从上海飞到长沙来为我们传福音的李风兄弟和汪湛兄弟，也感谢主，14号第一次通过马哥的介绍参加了长沙基督徒的家庭聚会。

二、设置和管理账户

　　1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

　　2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

　　3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

　　4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。

　　5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

　　6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。

　　7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

三、网络服务安全管理

　　1、禁止C$、D$、ADMIN$一类的缺省共享

　　打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0

　　2、 解除NetBios与TCP/IP协议的绑定

　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

　　3、关闭不需要的服务，以下为建议选项

　　Computer Browser:维护网络计算机更新，禁用

　　Distributed File System: 局域网管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用

　　Error reporting service：禁止发送错误报告

　　Microsoft Serch：提供快速的单词搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果没有打印机可禁用

　　Remote Registry：禁止远程修改注册表

　　Remote Desktop Help Session Manager：禁止远程协助

　　四、打开相应的审核策略

　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

　　推荐的要审核的项目是：

　　登录事件 成功 失败

　　账户登录事件 成功 失败

　　系统事件 成功 失败

　　策略更改 成功 失败

　　对象访问 失败

　　目录服务访问 失败

　　特权使用 失败

五、其它安全相关设置

　　1、隐藏重要文件/目录

　　可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

　　2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

　　3、防止SYN洪水攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为SynAttackProtect，值为2

　　4. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

　　新建DWORD值，名为PerformRouterDiscovery 值为0

　　5. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　将EnableICMPRedirects 值设为0

　　6. 不支持IGMP协议

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为IGMPLevel 值为0

　　7、禁用DCOM：

　　运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

　　清除“在这台计算机上启用分布式 COM”复选框。

　　注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。

六、配置 IIS 服务：

　　1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、删除不必要的IIS扩展名映射。

　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

　　5、更改IIS日志的路径

　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

　　7、使用UrlScan

　　UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接

　　如果没有特殊的要求采用UrlScan默认配置就可以了。

　　但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

　　文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。

　　如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

　　如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1

　　在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset

　　如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

　　8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

　　下载地址：VB.NET爱好者

七、配置Sql服务器

　　1、System Administrators 角色最好不要超过两个

　　2、如果是在本机最好将身份验证配置为Win登陆

　　3、不要使用Sa账户，为其配置一个超级复杂的密码

　　4、删除以下的扩展存储过程格式为：

　　use master

　　sp_dropextendedproc '扩展存储过程名'

　　xp_cmdshell：是进入操作系统的最佳捷径，删除

　　访问注册表的存储过程，删除
　　
Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues

　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

　　OLE自动存储过程，不需要删除

　　Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty

　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

　　5、隐藏 SQL Server、更改默认的1433端口

　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

八、如果只做服务器，不进行其它操作，使用IPSec

　　1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击

　　添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。

　　2、再在管理IP筛选器表选项下点击

　　添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。

　　3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口

　　4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成

　　5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定

　　6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.

九、建议

　　如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。

　　十、运行服务器记录当前的程序和开放的端口

　　1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

　　2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。

 

改3389

将下列两个注册表键中的 PortNumber 均改成自定义的端口即可：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

本文将为大家介绍在Microsoft Win系列SERVER (IIS5.0、IIS6.0)中如何简单快速解决ASP中危险组件对WEB服务器系统的安全威胁之详细防范设置步骤；读完本文，您将可以使您的网站服务器免去ASP木马、Webshell所面对的提升权限、甚至危害到系统安全的威胁。

本文作者：李泊林/LeeBolin 资深系统工程师、专业网络安全顾问。 已成功为国内多家大中型企业，ISP服务商提供了完整的网络安全解决方案。尤其擅长于整体网络安全方案的设计、大型网络工程的策划、以及提供完整的各种服务器系列安全整体解决方案。

ASP木马、Webshell之安全防范解决办法正文内容：
注意：本文所讲述之设置方法与环境：适用于Microsoft Windows 2000 Server/Win2003 SERVER | IIS5.0/IIS6.0

1、首先我们来看看一般ASP木马、Webshell所利用的ASP组件有那些？我们以海洋木马为列：
<object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</object>
<object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B">
</object>
<object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74">
</object>
<object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B">
</object>
<object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228">
</object>

shellStr="Shell"
applicationStr="Application"
if cmdPath="wscriptShell"
set sa=server.createObject(shellStr&"."&applicationStr)
set streamT=server.createObject("adodb.stream")
set domainObject = GetObject("WinNT://.")

以上是海洋中的相关代码，从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件：
① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)
④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)
⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
⑦ Shell.applicaiton....

hehe，这下我们清楚了危害我们WEB SERVER IIS的最罪魁祸首是谁了!!开始操刀,come on...

2:解决办法：

① 删除或更名以下危险的ASP组件：
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application
开始------->运行--------->Regedit，打开注册表编辑器，按Ctrl+F查找，依次输入以上Wscript.Shell等组件名称以及相应的ClassID，然后进行删除或者更改名称(这里建议大家更名，如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直
接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后，iisreset重启IIS后即可升效。)
[注意：由于Adodb.Stream这个组件有很多网页中将用到，所以如果你的服务器是开虚拟主机的话，建议酢情处理。]

② 关于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的安全问题，如果您的服务器必需要用到FSO的话，(部分虚拟主机服务器一般需开FSO功能)可以参照本人的另一篇关于FSO安全解决办法的文章:Microsoft Windows 2000 Server FSO 安全隐患解决办法。如果您确信不要用到的话，可以直接反注册此组件即可。

③ 直接反注册、卸载这些危险组件的方法：(实用于不想用①及②类此类烦琐的方法)

卸载wscript.shell对象，在cmd下或直接运行：regsvr32 /u %windir%\system32\WSHom.Ocx

卸载FSO对象,在cmd下或直接运行：regsvr32.exe /u %windir%\system32\scrrun.dll

卸载stream对象,在cmd下或直接运行： regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"

如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如：regsvr32.exe %windir%\system32\scrrun.dll

④ 关于Webshell中利用set domainObject = GetObject("WinNT://.")来获取服务器的进程、服务以及用户等信息的防范，大家可以将服务中的Workstation[提供网络链结和通讯]即Lanmanworkstation服务停止并禁用即可。此处理后，Webshell显示进程处将为空白。

3 按照上1、2方法对ASP类危险组件进行处理后，用阿江的asp探针测试了一下,"服务器CPU详情"和"服务器操作系统"根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active无法创建对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了。

当然服务器安全远远不至这些，这里为大家介绍的仅仅是本人在处理ASP木马、Webshell上的一些心得体会。在下一篇中将为大家介绍如何简简单单的防止别人在服务器上执行如net user之类的命令，防溢出类攻击得到cmdshell，以及执行添加用户、改NTFS设置权限到终端登录等等的最简单有效的防范方法。

注入的发展给webshell的研究提供了孕育的环境，asp系统的上传漏洞，尤其是使用广泛的dvbbs的上传漏洞给webshell快速发展，另外，下载默认数据库或备份数据库，然后利用后台的数据库备份得到webshell也是非常重要的入侵的手段，尤其是dvbbs数据库的表dv_logs的设置，简直让md5形同虚设。
Webshell权限的提升的研究，一下子成为摆在众多web攻击爱好者的难题。最近经常看到有人问，得到了webshell，可是由于种种限制，不能得到权限，或者达不到旁注的目的，请求办法。
记得一位牛人说的话：只要有webshell，我就能获得管理员权限。
鄙人没有这么强，我只是根据我实际的入侵经验给大家谈谈虚拟主机的权限，错误与不足之处请大家指出，欢迎来我的网站和我讨论（http://www.918x.com）。本文部分得到岁月联盟HaK_BaN的帮助，在此表示感谢。
在入侵中以下几种情况不属于我们探讨的范围。
可以跳转到任意目录并可写可执行；可以修改C:\Program Files\serv-u\ServUDaemon.ini；可以成功运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"提升权限的。可以成功用绑定木马的类似程序替换相关程序或服务。
好了，这里我们使用的木马主要是老兵的asp管理6.0，辅助的是砍客的C/S ASP木马。（这两个木马配合使用效果要比海洋好。）
一般虚拟主机是这样设置的：系统的每个分区禁止everyone访问的。每个网站用单独的iis用户，例如，iis_www.target.com。一般虚拟主机设置这个用户是隶属guest组的，权限很低的。只能访问特定的文件夹。这就导致了网站目录不能跳转，你只能访问本网站所在文件夹。
但是我要强调的是，虽然禁止了C盘的everyone访问，但是大多数系统的C盘子文件夹没有继承父文件夹的限制，于是，我们可以手动的访问（注意：自己添加路径再转）C:\Documents and Settings和C:\Program Files，这个对入侵提升权限非常重要。
我们可以访问C:\Program Files\serv-u\ServUDaemon.ini,但是serv-u的利用太广泛了，一般的管理员都知道设置serv-u文件夹的权限，一般是不能修改的。
我们还可以手动访问并下载C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere下的*.cif文件，进而破解出pcAnywhere的用户名和密码来远程登陆。也可能出现管理员登录后我们就上不去，管理员离开后会把桌面锁定。这里老兵（http://www.gxgl.com）给我们提供一个解决思路（http://www.918x.com/showart.asp?art_id=47&cat_id=5）。
如果手动可以访问c:\php,c:\prel等，说明我们可以使用php，cgi等的webshell。具体这期《黑客X档案》里angel的文章就很成功地突破了限制，我就不多重复。
给angel补充一点：如果能看见C:\Program Files\Java Web Start\，可以试试用jsp的webshell，我遇见过一次，但是权限也不是很大。
用砍客的木马，我们可以看到有serv-u的运行，并且知道他的绝对路径，很自然可以想到serv-u的权限的提升。这里就要涉及到三点：1，上传溢出程序。2，cmd的可用。3，iis单用户要有运行程序的权限。对于第一点，老兵的木马涉及到Scripting .Dictionary（数据流上传辅助组件），Adodb .Stream（数据流上传组件），SoftArtisans.FileUp（SA-FileUp 文件上传组件），LyfUpload.UploadFile（刘云峰文件上传组件），Persits.Upload.1（ASPUpload 文件上传组件）一般来说是可以上传，没有问题的。（如果还不行，我推荐使用littlepigp无组件上传,hackbase.com有下的。）对于第二点，wscript.shell组件的使用非常重要，当出现了"拒绝访问。 "，我们则可以知道对方的cmd不允许访问，这样我们可以上传一个cmd.exe来达到我们使用cmd的目的。但是当我们看见"ActiveX 部件不能创建对象"，说明我们完全不能使用cmd，入侵也就陷入了困境。对于第3点，则基本没有办法，例外的还是FTA分区的利用，权限再低，在FTA分区还是可以轻松运行程序的。
我们经常讲黑客要有发散性思维，不能总是思维定势。其他的一些突破方法，无非是基于对主机其他内容的利用来达到的。比如，有人利用flashfxp里的配置文件来获得一些密码基本信息。我们同样可以下载CuteFTP 的配置文件来替换本地文件也能达到相同的目的。
再稍微谈一下那篇"将asp木马权限提升到最高"里的方法，一般情况下，在我们可以使用cmd的前提下，虽然服务器支持FSO，但我们是没有访问C:\Inetpub\的权限的，这样我们自然不能用"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"这句来提升权限的。如图：

如果权限设置得太严格，唯一的通用的办法就是在"c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat，vbs等木马。等主机重启或者你ddos逼它重启，来达到权限提升的目的。
虚拟主机的设置有的是十分变态，比如：有些主机允许上传，但是不允许修改和删除；有些主机的Program Files被改为很变态的名字；有些主机的serv-u竟然是隶属guest组的用户来运行的；有些主机的杀毒做得十分惊人，n重加密过的种种木马难逃杀手，BT到了极点。
没有绝对安全的软件系统，所以我相信也没有绝对安全的虚拟主机，运气是一小部分。你的思维确非常重要。同样获得webshell，为什么高手可以成功实现权限的提升，你不行？我认为其实关键是发散的思维方式，而不是技术。