浅谈虚拟主机封杀webshell的提权

　　为了给系统提供一个安全的虚拟主机，我们只需要封杀webshell提权即可，那么，这个过程是怎样的?下面跟随爱站技术频道小编来看一看吧!

　　1.为了打造一个安全的虚拟主机,在asp+SQL环境下,我们要做的是封杀ASPwebshell.封杀serv-u提权漏洞和SQL注入的威胁

　　2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能也就是不让webshell查看系统服务信息,执行cmd命令和略览文件目录,我们要实现的功能是每个用户只能访问自己的目录,而且可以用FSO等ASP组件,在这里我以海洋木马和win200为例给大家演示一下.好多资料都是网上收集而来,在这表示感谢.

　　3.现在我们先设置好win的目录访问权限设置所有分区为administratorSYSTEM这两个系统用户拥有所有权、删除ERVERYONE

　　具体*作方式：选择系统盘我们这里为C->按右键选择属性-安全添加一个administrator和SYSTEM所有权限，删除ERVERYONE用户

　　我已经都设置过了,就不重复了,设置权限的时候很慢,具体的看我下面的说明吧

　　4.选择重置所有子对象的权限并允许传播可继承权限

　　具体*作方式：接第3步->选择高级->选择重置所有子对象的权限并允许传播可继承权限打钩选定按应用->提示是否继续选择‘是'继续

　　如果发现有提示问题就按继续按钮继续

　　5.设置everyone用户可以读取的目录(使得可以执行PERLASPJMAIL)

　　[设置ASP可以使用]具体*作：进入C:\promgramfiles目录把commonfiles目录，设置everyone可以读、运行、列目录

　　C:\ProgramFiles\CommonFiles都是一些系统文件,如果你装了一些别的组件,比如maill,php等也按同样的设置

　　就是刚才那个目录,系统出了毛病,设置权限的时候十分慢

　　6.设置取消继承，功能：为了使用户不能越权删除而ASP可以正常使用

　　具体*作方式：进入winnt\system32\选中所有目录，除了inetsrvcertsrv两个目录不要选择(备注：这两个是ASP要用的dll)

　　选择属性->安全->高级->权限->把允许来自父系的继承取消打钩->按复制

　　进入winnt目录->选中所有目录除web,temp,tasks,system32　,offinewebpages,

　　iistemporaycompressedfile,help,downloadpromgram同上取消继承->按复制

　　选择winnt->设置安全，添加everyone读取运行列出文件目录读取

　　进入winnt->选择temp属性设置安全,everyone完全控制,再点高级,编辑,把运行权限去掉

　　动画断了,奇怪了

　　这样2000目录权限基本设置完成,2003的目录设置可以看最下面,我就是这么设置的,没出问题,有问题找我,看来还没设置好,终于好了,累啊

　　D盘看不见了吧.

　　7.刚才动画断了,新建一个用户leilei,设置密码,要设置密码永不过期,把他加到guest用户组里去,然后在IIS设置他的虚拟站点,我这用的是默认站点,设置虚拟目录E:\网站资源\BBSXP5.12正式版]\bbsxp,再点属性-目录安全性-编辑.匿名访问打上勾,然后设置用户名和密码,然后到E:\网站资源\BBSXP5.12正式版]\bbsxp里设置权限,给leilei访问权.OK,现在告了一段落,leilei这个用户只能访问自己的目录了删掉不用的脚本映射.*.htr这是一个比较厉害的文件，删掉好了。否则，任何人都可以通过你的web来进行非法*作，甚至格式化掉你的硬盘。*.hta删掉吧。*.idc所以删掉他。*.printer这个是打印机文件。去掉他好了*.htw,*.ida*.idq这些都是索引文件，可以去掉了。其实只要有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!

　　我们来看一下网站

　　怎么样,FSO正常使用吧

　　8.这里有时候会遇见ASP不能访问,提示Therequestedresourceisinuse和Theremoteprocedurecallfailedanddidnotexecute.

　　我就遇见了,找了找网上的帖子,有的说御载瑞星2005,再同步iwam帐号,同步同步iwam帐号请看　　http://www.gamepa.com/Announce/A...ID=8000&ID=361.有的说是asp.net没有权限执行,还有的说在2003下,添加IIS_WPG　组，并重启计算机。方正我是同步了一下iwam帐号,然后还是没搞定,又瞎鼓捣了半天,准备从装机器前从起了一下,然后发现,好了~,如果你　遇见了这个问题,而且没搞定的话,可以到我论坛里发个帖说一下,我和你一起研究,反正我是无业游民,电脑前面做了半年了.随时都在,急就　端消息我,有声音提示的.

　　9.现在我们上个webshell看看,先看我们刚才设置的目录权限的效果,效果不错,现在我们堵上webshell的cmd,有两种cmdshellWScript.Shell和Shell.Application,关于这两个组件的基础知识可以看看这篇文章

　　http://www.gamepa.com/Announce/A...dID=8000&ID=395

　　这里有两种方法一种是设置权限把c:\winnt\system32\cmd.exe的权限设置好,(sorry我把mdshellWScript.Shell和Shell.Application已经删了,现在注册上),只能administrator和系统用户访问的权限,这个时候cmd是不能用了,不过我们平时都是上传一个cmd在用,看演示看,现在又能用了吧,我在别人的主机上也经常遇见这个现象,不过我们还是有办法.再把E:\网站资源\BBSXP5.12正式版]\bbsxp的运行权限去掉,拒绝访问。缺少对象,不影响网站使用fso吧,还有一一种就是彻底删掉WScript.Shell和Shell.application,命令是regsvr32/uwshom.ocx和regsvr32/uwshext.dll,我们先恢复权限.还是缺少对象吧,两个都行,都是实验通过的,我比较喜欢第二种,反正不影响我使用.再去试下网站,没有问题

　　10.封杀webshell查看系统进程的功能,对我的电脑点右键-管理-服务应用程序-服务-workstation,双击点停止,禁用.这个服务在倒数第二个

　　Workstation”——svchost.exe——是用来管理网络，支持联网和打印/文件共享的,禁用了也没事,参考文章

　　http://www.gamepa.com/Announce/A...dID=8000&ID=400

　　http://www.gamepa.com/Announce/A...dID=8000&ID=402

　　http://www.gamepa.com/Announce/A...dID=8000&ID=403

　　错误:　错误源:　这好象是因为删除wshom.ocx和wshext.dll的原因,不管他,我们继续,现在是可以看系统进程的还有登陆用户,现在我们禁用服务去,要从起,进程才会没的,算了,我不从起了,反正不会有问题的了,已经什么也看不见了

　　11.封杀serv-u和SQL,这也是抄来的,因为serv-u和sql都是系统权限,也就是system用户,我们的目的就是把他俩变成user用户,让他俩没权限添加administrator的帐号,这里我用serv-u演示,ftp"netuserleilei3leilei3/add"成功添加了leilei2帐号,输入法出问题了，估计大家也都知道，serv-u本地提权漏洞，解决方法,先添加一个user权限的用户,我这就用leilei3这个用户了,然后对对我的电脑点右键-管理-服务应用程序-服务-Serv-UFTP服务器-登陆-此帐户,把默认的改掉,现在就可以了,来我们再试一下serv-u能不能用.无法启动，晕到,还是权限的问题,有人做过这个动画,没问题的.

　　动画下载http://www.gamepa.com/Announce/A...dID=7890&ID=355

　　权限设一下就OK了,SQL也是这样的设置,不过权限要设置好,因为sql要访问的目录很多,没*作权限就不能用了,建议要改user权限运行SQL的时候别用我上面讲的目录权限分配方法,而是根据最下面的win2003目录权限设置做参考,一点一点的改win的目录权限,或者给user用户多点权限,这个我用不上,也没研究,还那句话,如果有哪位朋友需要,我们一起研究

　　12.经过这样的设置基本安全了吧,如果高手能提供点意见,指出不安全的地方,不胜感激。

　　通过上述文章了解了虚拟主机封杀webshell的提权的操作后，大家对此是不是有了更深刻的印象，喜欢记得随时关注我们网站。