構建高安全級別的主機系統的時候
對於NT系統往往有一個很尴尬的地方就是IIS的返回BANNER會很容易的洩露當前主機上NT的版本
比如我們可以簡單的TELNET到對方的
端口用GET命令來查看下結果
HTTP/
Bad Request
Server: Microsoft
IIS/
Date: Wed
Dec
:
:
GMT
Content
Type: text/html
Content
Length:
<html><head><title>Error</title></head>
<body>The parameter is incorrect
</body>
</html>
又或者FTP過去看到
Connected to
sql Microsoft FTP Service (Version
)
User (
:(none)):
TELNET到對方的
端口去發信的時候
會出現
sql Microsoft ESMTP MAIL Service
Version:
ready at Thu
Ja
n
:
:
+
看到沒有服務器會很老實的告訴我們它是IIS
結果全世界都知道它是WIN
了
也許你很費力安裝防火牆然後禁止了ICMP的數據包
但IIS的WEB FTP SMTP NNTP還是會很輕易的把秘密給洩露出去
討厭的是現在很多漏洞掃描和安全評估系統也會根據服務器所返回的標志來自動判斷服務器的版本
然後從後台調用相應的漏洞資料數據庫來調整下一步的掃描策略
最後在報告裡還要說上一句告訴我們這是屬於低風險的安全漏洞
實在是可惡
其實雖然在IIS的管理器裡面並沒有提供給我們修改和隱藏BANNER的工具
但我們還是可以通過修改相應的DLL文件來實現的
當然這需要一點小技巧
可是並不復雜
首先我們需要知道存放IIS BANNER的DLL文件都是放在C:\WINNT\SYSTEM
\INETSRV\ 目錄下面的
其中對應關系是
WEB是
C:\WINNT\SYSTEM
\INETSRV\W
SVC
DLL
FTP是
C:\WINNT\SYSTEM
\INETSRV\FTPSVC
DLL
SMTP是
C:\WINNT\SYSTEM
\INETSRV\SMTPSVC
DLL
我們可以用UltraEdit將他們打開
然後查找我們想要找的BANNER的關鍵字
例如IIS的WEB就是要找
Microsoft
IIS/
educitycn/img_///jpg> 然後直接修改成我們想要修改成的樣子
這個可以隨你高興了
)然後保存就好
但需要注意的地方就是
在修改的時候請停止IIS的服務
可以用iisreset /stop
由於
系統後台的文件保護機制的作用
當系統一旦發現重要的DLL文件被修改後就會嘗試用%SYSTEMROOT%\system
\dllcache 目錄下的備份文件來進行恢復
所以在修改前我們還需要事先刪除%SYSTEMROOT%\system
\dllcache目錄下的同名文件
當然除了以上的手動修改以外
其實還有人寫過一個相應的小工具來完成這件事情的
使用和操作上就更簡單了
下面給大家介紹下
educitycn/img_///jpg> educitycn/img_///jpg> educitycn/img_///jpg> 注意的是一樣先要自己事先停止IIS服務
刪除DLLCACHE裡的備份文件
完成後WINDOWS會出來一個對話框告訴你
系統文件被更改需要安裝光盤恢復
不用理它點取消就好了
educitycn/img_///jpg> educitycn/img_///jpg> 修改以後的BANNER成了這個樣子
HTTP/
Bad Request
Date: Wed
Dec
:
:
GMT
Content
Type: text/html
Content
Length:
<html><head><title>Error</title></head>
<body>The parameter is incorrect
</body> </html>
可以發現修改後的BANNER已經不再出現Microsoft
IIS/
的字樣了
不過老實說
想要完全隱藏還是不太現實
就我來看IIS和APACHE返回的代碼格式實在是差的太遠了
APACHE是這個樣子的
<!DOCTYPE HTML PUBLIC
//IETF//DTD HTML
//EN
>
<HTML><HEAD>
<TITLE>
Method Not Implemented</TITLE>
</HEAD><BODY>
<H
>Method Not Implemented</H
>
get to / not supported
<P>
Invalid method in request get /<P>
<HR>
<ADDRESS>Apache
/
Server at localhost Port
</ADDRESS>
</BODY></HTML>
From:http://tw.wingwit.com/Article/os/fwq/201311/29838.html
