ibic 
 
级别:中级站友
威望:0
经验:0
货币:122
体力:
来源:辽宁
总发帖数:81
注册日期:2001-08-03 |
|
 查看  邮件  主页  QQ  消息  引用  复制  下载
SqlExec,
Exploits等等一般都是都是通过远程开一个Shell(我不是很懂这个概念,不知道说错没有。)来入侵的。如果我们本地禁用了Cmd(通过改注册表),那么这些方法也就不那么好用了。但是这样做有一点不方便,我们差不多每天都要用Cmd,要是每次都手动改注册表就很烦了,我们可以通过一个小小的脚本实现:
//-------由此开始,剪下,保存为SecCmd.js---------------
var
WshShell = new ActiveXObject("WScript.Shell");
WshShell.RegWrite("HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD",
0, "REG_DWORD");
//0--启用Cmd,
//1--禁用Cmd和脚本(*.cmd and *.bat
only)
//2--只禁用Cmd,不禁用脚本。
WshShell.run("Cmd");
WScript.sleep(100);
//这步是必须的,要不然你打开Cmd窗口后,脚本已经把注册表改回去了,你仍然回得到"Command prompt has
been disabled by your administrator, press any key to
continue..."的错误提示,还是不能用Cmd.
WshShell.RegWrite("HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD",
1, "REG_DWORD");
//禁用Cmd和脚本
//--------------------到此结束-------------------------
这样,只有通过这个脚本才能在本机上打开Cmd。你可以试试运行完本脚本后,打开本机的Telnet服务用另一台机器登陆,就会发现不能运行Cmd。
注意:
1. 为了真正意义上加强安全性,要把远程注册表服务关闭(net stop remoteregistry)
2. 这样做会导致一些程序无法运行(好像是那些调用CreatePipe的程序),可以做个EnableCmd.reg:
--------------由此开始,剪下,保存为EnableCmd.reg-------------------
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000000
------------------------到此结束----------------------------------
在运行这些程序前导入这个注册表文件就可以了。运行完后再导入下面的DisableCmd.reg就又回到禁用Cmd的状态了。
-------------由此开始,剪下,保存为DisableCmd.reg-------------------
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000000
------------------------到此结束----------------------------------
附件里面包括已经做好的这3个脚本(2000下)
Ibic
 与此主题相关的附件(大小:1
K) |
首页 
小榕软件实验室 
刀光雪影 
[原创]一个也许能算是加强安全的小小脚本。 
将此页发给您的朋友
编辑
删除
发表于 2002-06-22.18:36:00 
IP: 
.gif)
.gif)
