关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位



; V* B6 r4 w# C$ ?7 Z下面将以查询mysql数据库当中user()的第一位为例:
3 P( I% U: @- ^2 {
2 n- @  U+ `6 P5 z

$ V+ V* J1 U" i& m$ U+ e7 H6 gps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
& v1 K8 p" u8 A

1 Y4 ?' H6 S: {/ l# z7 x3 X
' d+ E4 s) b0 E, n" Y8 ?& L首先执行如下sql语句:
9 T) q$ X" X! V9 \* \
' s" s7 ^% T4 ?/ @1 Q

mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
3 o1 I. f4 m* G- j
( b, d: S5 Y6 V' _/ o. j0 W6 |

  H, [2 m2 p; h0 c我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
! x  d0 O* Q9 I4 r5 l2 b+ Q" g
- T) B4 H9 A$ v7 E+ M
% `# E0 v' N& P# O$ Y0 d, _4 \- T
第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1



, c( J5 {' z$ D" }/ F/ W如果运算结果为1,说明第一位为0,不为1


" r% ^9 F9 Z+ I* S- W  ^. _. F% |
1 O% N3 |' v! ]7 h+————————————–+

1 N, e' J5 [* y8 Z$ O: v| (ascii((substr(user(),1,1))) >> 7)=0 |

+————————————–+
6 S( H9 I  @" \  t6 a
/ B8 i3 w3 |6 C5 V) E| 1 |
  j7 [  X# i4 \+ r% V" Y* s
+————————————–+
. j+ o3 {" ]  X: z& s
1 row in set (0.00 sec)
, J$ v' R5 W" Y' v
$ m3 ~6 \$ q4 q这样我们就确定这个8bit的ascii的第一位为0
- [( b) h. q4 T0 a0 q/ C, S7 `) _9 ~
5 D0 E2 j6 O, o# A- s) U- z5 D$ c
$ r1 [+ \5 M4 V. H4 B" n$ I$ p
第二次我们来做6次右偏移来确定前两位
, {% w# r% E1 q. U+ d! Z
; [$ e3 |0 y4 f$ Z5 J0 R
$ r- W3 q- p, o0 H4 h; s
/ \( O! x8 Q; q3 u! o1 t前两位可能是01或00,即依然可以与0做比较,
, z" G1 v- w: c( V0 l2 X
mysql> select (ascii((substr(user(),1,1))) >> 6)=0;
- T5 U* U: \  u( K6 p
+————————————–+

| (ascii((substr(user(),1,1))) >> 6)=0 |
, b6 J/ O6 H: t
  u$ F4 B5 a. `+————————————–+

7 g/ q) D* Z$ d# Z: j| 0 |

0 Q: [! O+ a: ?% W; X+————————————–+

1 row in set (0.00 sec)

) \- Z1 _- }! \, t5 R$ U4 w
7 e: g1 t, s. k/ ]9 l) G" L; a
结果为0,即第二位为1

2 ?6 v$ `. J+ F  e4 _) H
  B( o! N# ~3 E9 ?& L3 X
  G2 t# Z2 A8 V5 a- A) U开始猜测前三位为010或011

* a! R; _- f3 \- Z- g

$ `, D, B) ~' C$ W4 F$ |$ o+ I, L让我们看看010和011的ascii码是多少

' }4 \5 o/ B; C
# d5 f2 G. b! H4 ]
分别查询select b’011′ select b’010′

0 w" M. D! |: Y% g. C7 h

& [& l/ U) N" x3 F' ?  @% W2 S/ e- k& k  ^获得结果 010 = 2 011 = 3
. y; k: p  c6 P5 l3 q9 [9 t( [


3 B' k$ H7 ]! |执行如下sql:
$ j" y8 d  F& o
1 p% g  n. W8 z1 G% l
& J% `# M) N: b7 X, {
mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
/ j$ w) ^4 u6 [4 J8 b
+————————————–+

| (ascii((substr(user(),1,1))) >> 5)=2 |

+————————————–+

9 \) D" Q5 }7 H| 0 |

+————————————–+
+ Q$ j. z) J+ A$ M8 W1 V
即前三位不为010,而是011

+ J5 c. I! o9 u

2 T7 h2 C, R7 F8 d8 N直到获得最后一位


3 l* y3 F9 X. L
, r8 ]8 T6 D) w9 ]* r3 R最终结果为:01110010

6 l( s1 \, d: }1 V9 |- B
( l8 z3 x  A) U: K4 _$ G
+ L  E9 m( x/ Z; ?转换一下:
/ \$ i, [" A8 P8 a+ H4 O


select b’01110010′


7 d' O# s0 X; T9 Q' ?8 y
查询结果

0 {" s3 R& ^& W& Q
, a# V( n* |( B/ ]  }# R
+————-+
( ?& H! @$ b( N; s$ Q0 Q
3 Q( ^2 t$ [) p* O9 _| b’01110010′ |

+————-+

| r |
' ?% t4 y: R  H! `! D; k
3 [, t' \) F& K; L. v% d+————-+
: l; ~1 Q4 ]9 N& e  V! s! L
1 row in set (0.00 sec)
: t8 E* z) ]2 c2 t
1 T6 @$ V7 c" Q! X  B

这样我们就获得了user()的第一位.其它位依此类推

  g5 ]8 |! z; X5 W