1.下載Urlscan
https://www.microsoft.com/en-us/search/DownloadResults.aspx?q=URLScan(總下載頁面)
https://download.microsoft.com/download/1/9/8/198a7fdf-1057-4668-9f44-035f8faeaf95/Setup.EXE(適用於Windows 2000, Windows NT, Windows Server 2003)
https://download.microsoft.com/download/c/7/a/c7a411ed-1c0f-48c1-90e5-6d3a1ca054c1/urlscan_v31_x86.msi(適用於32位的Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP)
https://download.microsoft.com/download/2/1/9/219764e5-533b-4ce7-95fe-d4e3b98eafea/urlscan_v31_x64.msi(適用於64位的Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP)
2.安裝Urlscan
將下載的文件存放有漏洞的主機的任意位置,雙擊安裝。
3.禁止Server字段
打開資源管理器進入目錄%WINDIR%\System32\Inetsrv\URLscan
使用記事本編緝urlscan.ini
將RemoveServerHeader值賦為1(1表示禁止Server字段,默認值為0),保存並退出。
4.重啟IIS
打開cmd,執行:iisreset /restart
5.偽裝IIS版本號【可選】
上邊的操作只是禁止了IIS自動生成的Server頭的信息,並不是真的Server字段完全禁止返回;由此我們可以自定義Server字段,進一步誤導掃描器。
到管理工具中打開“Internet信息服務(IIS)管理器”
定位到要處理的網站,右鍵,點擊“屬性”
選擇“HTTP頭”選項卡,選擇添加
添加HTTP頭名:Server
HTTP頭值:Microsoft-IIS/7.5
此操作不用重啟IIS即可生效。
說明:
1.按網上的修改w3core.dll文件的方法,在Windows Server 2003反復折騰成功修改后,網站一直報503不可訪問,不知是不是2000可以而2003已不可以。
2.自定義Server字段的值是拼接到IIS自動生成的信息之后而不是覆蓋IIS自動生成的信息,所以我們不能直接通過自定義Server頭來實現修改版本號--Nmap可以欺騙有些掃描器不可以看其判斷版本號的策略
參考: