HZHOST实现自定义FSO权限的方法及其应用
通过关闭FSO权限,ASP脚本木马等程序将无法上传至站点之下,因此更无法运行。
同时这将保障网站文件不被恶意更改。而且并不影响ACCESS数据库的正常读写。 Admin365.COM 天天站长
要关闭站点FSO权限,请确认:
* 您的站点没有用到FSO功能,不通过ASP等脚本对站点文件进行读写和删除。 Admin365.COM 天天站长
Admin365.COM 天天站长
Admin365.COM 天天站长
hzhost这个自定义FSO的功能的确很实用,但是我却不知道他实现的方法 Admin365.COM 天天站长
今天找了下,终于发现了
是通过设置注册表路径HKEY_CLASSES_ROOT/Scripting.FileSystemObject该处的权限实现,如要关闭某站点的FSO权限,在该处权限设置拒绝该IIS用户即可,如图所示
在注册表HKEY_CLASSES_ROOT/Adodb.stream处,hzhost同样为live该IIS用户设置了拒绝权限,说明关闭FSO权限后,该站点的Adodb.stream组件权限也被随之关闭
还没有想像中的复杂,一开始我找的是FSO的CLSID={0D43FE01-F093-11CF-8940-00A0C9054228}的注册表权限,没有发现hzhost为该处设置权限。 Admin365.COM 天天站长
关闭FSO后,ASPSHELL即使上传也根本没用了,因为Scripting.FileSystemObject和Adodb.stream两大组件他都不能用了^_^ Admin365.COM 天天站长
这样的话,我们可以写个批处理文件,在某些没装主机控制系统的服务器上,用批处理实现Scripting.FileSystemObject和Adodb.stream两个组件的开关
关闭FSO和ADO.stream: Admin365.COM 天天站长
引用内容 Admin365.COM 天天站长
setacl CLASSES_ROOT/Scripting.FileSystemObject /registry /deny Guests /full Admin365.COM 天天站长
setacl CLASSES_ROOT/Scripting.FileSystemObject /registry /deny hostgroup /full
setacl CLASSES_ROOT/ADODB.Stream /registry /deny hostgroup /full Admin365.COM 天天站长
setacl CLASSES_ROOT/ADODB.Stream /registry /deny Guests /full Admin365.COM 天天站长
Admin365.COM 天天站长
打开FSO和ADO.stream
引用内容
setacl CLASSES_ROOT/Scripting.FileSystemObject /registry /grant Guests /full Admin365.COM 天天站长
setacl CLASSES_ROOT/Scripting.FileSystemObject /registry /grant hostgroup /full Admin365.COM 天天站长
setacl CLASSES_ROOT/ADODB.Stream /registry /grant hostgroup /full
setacl CLASSES_ROOT/ADODB.Stream /registry /grant Guests /full Admin365.COM 天天站长
Admin365.COM 天天站长
嘿嘿,实现只有在需要的时候用到这两个组件了,防止aspshell利用这两个组件危害服务器的安全
setacl.exe文件可以在本blog以前的文章中找到下载
在运行里输入 Regsvr32 c:/windows/system32/scrrun.dll 确定
HZHOST实现自定义FSO权限的方法及其应用相关推荐
- android 加网络权限管理,Android添加用户组及自定义App权限的方法
Android:4.4.4 一.应用场景 在Android设备上,现在我们外接了一个USB转串口的设备,设备节点是/dev/ttyUSB0: # ls -l /dev/ttyUSB0 crw-rw-- ...
- 服务器怎么设置网站写入权限,如何设置服务器写入权限设置方法
如何设置服务器写入权限设置方法 内容精选 换一换 将用户组添加至企业项目中,并为其设置一定的权限策略,该用户组中的用户即可拥有策略定义的对该企业项目中资源的使用权限.本小节指导您如何为企业项目添加用户 ...
- 《Java编码指南:编写安全可靠程序的75条建议》—— 指南19:对细粒度的安全定义自定义安全权限...
本节书摘来异步社区<Java编码指南:编写安全可靠程序的75条建议>一书中的第1章,第1.19节,作者:[美]Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达 ...
- Android地图权限处理,Android 使用地图时的权限请求方法
在初始化自己位置的时候请求定位权限: Constants.ACCESS_FINE_LOCATION_COMMANDS_REQUEST_CODE是自定义的常量值==0x01 if (ContextCom ...
- 搜狗浏览器安装自定义JS脚本的方法~
搜狗浏览器安装自定义JS脚本的方法- 方法1 安装新搜狗浏览器右上常用工具栏,在"工具箱"上点击选"添加". 搜索安 ...
- php实现微信公众号分享,php实现微信公众号自定义分享内容的方法
这篇文章主要介绍了php版微信公众号自定义分享内容实现方法,结合实例形式分析了php实现微信公众号自定义分享内容的接口调用与相关使用技巧,需要的朋友可以参考下 微信公众号号在手机中通过api接口可以实 ...
- php实现微信公众号分享,php版微信公众号自定义分享内容实现方法
搜索热词 PHP版微信公众号自定义分享内容实现方法,希望对您有用.如果有疑问,可以联系我们. PHP版微信公众号自定义分享内容实现方法.分享给大家供大家参考,具体如下: 自定义分享内容了,下面我们来看 ...
- 内网渗透系列:权限维持方法小结
目录 前言 一.Windows 1.密码记录工具 (1)WinlogonHack (2)键盘记录器 (3)NTPass 2.常用的存储Payload位置 (1)WMI (2)包含数字签名的PE文件 ( ...
- 【android】五种控制Android应用的权限的方法
转自:http://www.cnbeta.com/articles/181913.htm 1 为什么Android总是事无巨细地告诉你应用索取的每一项权限? 相比Apple,Microsoft严格控 ...
- 五种控制Android应用的权限的方法
这篇文章目的在于介绍Android系统上控制权限的方法,读者只要使用过Android,或是对智能机平台有所了解,就能看懂,不需要专门的编程知识. 1 为什么Android总是事无巨细地告诉你应 ...
最新文章
- 编译安装LAMP之配置httpd以FastCGI方式与php整合
- 准确度量 持续改进—网站分析驱动目标达成zz
- Winform下载文件
- 用python实现基本A*算法
- 浅析Java.lang.Runtime类
- mysql锁机制(Innodb引擎)
- html页面高度设为自动,html – CSS:响应式布局中的高度自动问题
- cocos2dx xcode5 创建项目
- redis关键字删除_微信公众号文章防删除
- 第5章 C++内存模型和原子类型操作
- android Toast五种特效
- kodi pvr 不能安装_Kodi添加m3u8直播源教程 使用PVR IPTV Simple Client看电视直播
- 通信协议(二)——SPI协议
- js小学生图片_小学生画报设计图片
- Python定向爬虫入门
- 学习专栏-关于Python读取数据学习记录
- Linux系统-高琪-专题视频课程
- uva 10041 - Vito's Family
- 2022-2028全球与中国防爆照明LED灯市场现状及未来发展趋势
- 文件上传之黑名单绕过