防止恶意用户提权

发布时间：2011-12-17 11:30:44作者：知识屋

　　大家应该都知道通过webshell 可以提权，现在简单的讲述一个怎么能够防止别人利用webshell进行提权，也就是说就算恶意用户取得了某个服务器某站点的webshell，也是没办法进行提升权限的。

　　防止webshell运行cmd命令

　　这里讲述一个简单的方法，那就是把默认的CMD名称改成其他任何复杂名称。自己需要使用的时候可以更改回来。这个是最简单的，当然也存在安全隐患，当恶意用户上传一个CMD到任意目录下，就可以执行了，这里可以找到很安全的设置方法，比如设置CMD 运行的权限，把所有权限都删除掉，当使用的时候在把权限加上去，wscript.shell 相信大家都比较了解它，Wscript.Shell可以调用系统内核运行DOS基本命令，这里可以通过修改注册表，将此组件改名或删除(建议改名)，方法如下：

　　HKEY_CLASSES_ROOTWscript.Shell

　　HKEY_CLASSES_ROOTWscript.Shell.1

　　这个样子几个简单的步骤就可以达到webshell无法运行cmd命令的效果。

　　修改系统默认文件夹漏洞

　　也就是最常见的 C:Documents and SettingsAll Users，虽然大部分人都知道这里可以进程上传，但管理员一般很少注意到这个目录的权限问题，从而产生安全隐患。在这里我们吧此文件夹的阅读权限设置只允许管理员用户和system用户完全控制，其他的屏蔽掉即可。

　　Serv-U提权

　　Serv-U 提升权限 ASP版 6.2 ，我们怎么能够防止它进行提权呢？那么只需更改默认端口和默认FTP软件的账户和密码，默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P，其修改方法如下：

　　首先利用Ultraedit修改文件ServUDaemon.exe和ServUAdmin.exe两个程序，将默认密码修改成同等长度的其它字符，然后用Ultraedit打开ServUAdmin.exe查找最后一个B6AB(43958的16进制)，替换成自定义的端口比如3930（12345）即可。

　　安全设置IIS用户

　　重新建立一个用户然后把用户所在组删除，让其独立，然后在IIS中指派给其网站，然后在网站跟目录指派其用户读取、运行，即可，此时即使WEBSHELL上传成功也只能在网站文件夹内活动，涉及不到其他文件夹。