蓝队网络自用虚拟主机运行网站比较多 主机管理系统安装的时候已经自动做过安全设置 请勿再做更改。以下主要针对在给客户进行环境搭建需要注意的内容:涉及的不安全组建:WScript.Shell      Shell.application WScript.Network 禁用。

卸载相关组建。

regsvr32/u C:\windows\System32\wshom.ocx

regsvr32/u C:\windows\system32\shell32.dll

—–提示:删除前先备份到其他目录—–

del C:\windows\System32\wshom.ocx

del C:\windows\system32\shell32.dll

改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_landui

禁用后可以防止asp执行命令。

未禁用前探针:1.jpg

禁用后:

2.jpg